Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\nano
- <SYSTEM32>\tasks\net framework
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\fasfww\fasfww.exe
- %APPDATA%\logs\11-26-2023
Сетевая активность
Подключается к
- 'ip##pi.com':80
- '45.##2.212.35':5173
TCP
Запросы HTTP GET
- http://ip##pi.com/json/
Другие
- '45.##2.212.35':5173
UDP
- DNS ASK ip##pi.com
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c mkdir "%APPDATA%\fasfww"
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /sc minute /mo 10 /tn "Nano" /tr "'%APPDATA%\fasfww\fasfww.exe'" /f
- '%WINDIR%\syswow64\cmd.exe' /c copy "<Полный путь к файлу>" "%APPDATA%\fasfww\fasfww.exe"
- '%WINDIR%\syswow64\schtasks.exe' /create /sc minute /mo 10 /tn "Nano" /tr "'%APPDATA%\fasfww\fasfww.exe'" /f
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "NET framework" /sc ONLOGON /tr "<Полный путь к файлу>" /rl HIGHEST /f
