Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\lkezaynmpvlnixj
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\lkezaynmpvlnixj.vbs
Сетевая активность
Подключается к
- '14#.#1.92.251':80
TCP
Запросы HTTP GET
- http://14#.#1.92.251/12032025/w5
- http://14#.#1.92.251/12032025/extention
- http://14#.#1.92.251/12032025/s
- http://14#.#1.92.251/12032025/v
- http://14#.#1.92.251/12032025/r
- http://14#.#1.92.251/12032025/cn
- http://14#.#1.92.251/12032025/EwILnvEcBTbp6d6bUTk3.txt
- http://14#.#1.92.251/12032025/w1
- http://14#.#1.92.251/12032025/w2
- http://14#.#1.92.251/12032025/file
- http://14#.#1.92.251/12032025/w6
- http://14#.#1.92.251/12032025/w7
- http://14#.#1.92.251/12032025/w8
- http://14#.#1.92.251/12032025/w9
- http://14#.#1.92.251/12032025/instant
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\LKeZAYNmpVLnixJ.vbs"
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -windowstyle hidden -noexit -Command [AppDomain]::CurrentDomain.Load([Convert]::FromBase64String((-join (Get-ItemProperty -LiteralPath 'HKCU:\Software\LKeZAYNmpVLnixJ' -... (со скрытым окном)
- '<SYSTEM32>\taskeng.exe' {6B2243A1-A503-4C09-ABE3-D8CFE6F8EBC1} S-1-5-21-3691498038-2086406363-2140527554-1000:zaelfuyz\user:Interactive:[1]
- '<SYSTEM32>\wscript.exe' "%APPDATA%\LKeZAYNmpVLnixJ.vbs" (со скрытым окном)
