Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\<Имя файла>.vbs
Изменения в файловой системе
Создает следующие файлы
- C:\ircfethhecd2pou\hyxnhjeeotu1r.txt
- C:\ircfethhecd2pou\esrtvlilj3o5hunv1bo824f.txt
Сетевая активность
Подключается к
- 'kr###.hugii.repl.co':443
- 'microsoft.com':80
- 'x1.#.lencr.org':80
- 'r3.#.lencr.org':80
- 'oc##.#tartssl.com':80
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
- http://x1.#.lencr.org/
- http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgSmPzcfWtsgAacgzu0KUik4FA%3D%3D
- http://oc##.#tartssl.com/sub/class2/code/ca/MEMwQTA%2FMD0wOzAJBgUrDgMCGgUABBQSOgrhRCSnWfKxoWTjWxhk8hga9AQU0E4PQJlsuEsZbzsouODjiAc0qrcCAhAV
Другие
- 'kr###.hugii.repl.co':443
UDP
- DNS ASK kr###.hugii.repl.co
- DNS ASK microsoft.com
- DNS ASK x1.#.lencr.org
- DNS ASK r3.#.lencr.org
- DNS ASK oc##.#tartssl.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Query /FO CSV /NH /TN "<Имя файла>.vbs"' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /Create /SC ONCE /TN "<Имя файла>.vbs" /TR "wscript.exe \"<PATH_SAMPLE>.vbs\" /AsAdmin" /ST 00:01 /IT /F /RL HIGHEST' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Query /FO CSV /NH /TN "<Имя файла>.vbs"
- '<SYSTEM32>\wscript.exe' "<PATH_SAMPLE>.vbs" /CreateTask
- '<SYSTEM32>\schtasks.exe' /Create /SC ONCE /TN "<Имя файла>.vbs" /TR "wscript.exe \"<PATH_SAMPLE>.vbs\" /AsAdmin" /ST 00:01 /IT /F /RL HIGHEST
