Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\677ebc888e619.vbs
Удаляет следующие файлы
- %TEMP%\ixp000.tmp\677ebc888e619.vbs
Сетевая активность
Подключается к
- 'bi###cket.org':443
- 'ra#.####ubusercontent.com':443
TCP
Другие
- 'bi###cket.org':443
- 'ra#.####ubusercontent.com':443
UDP
- DNS ASK bi###cket.org
- DNS ASK ra#.####ubusercontent.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\IXP000.TMP\677ebc888e619.vbs"
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c 677ebc888e619.vbs (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "$dosigo = 'WwBO$GU$d$$u$FM$ZQBy$HY$aQBj$GU$U$Bv$Gk$bgB0$E0$YQBu$GE$ZwBl$HI$XQ$6$Do$UwBl$GM$dQBy$Gk$d$B5$F$$cgBv$HQ$bwBj$G8$b$$g$D0$I$Bb$E4$ZQB0$C4$UwBl$GM$dQBy$Gk$d$B5$F$$cgBv$HQ$bwBj$G8$b$BU$... (со скрытым окном)
