Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\jjbcqgtyuooapth
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\jjbcqgtyuooapth.vbs
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
UDP
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\jJbcQGTyuOOaPtH.vbs"
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command ""[AppDomain]::CurrentDomain.Load([Convert]::FromBase64String((-join (Get-ItemProperty -Path 'HKCU:\Software\jJbcQGTyuOOaPtH' -Name 'test').test | ForEach-Object { ... (со скрытым окном)
- '<SYSTEM32>\taskeng.exe' {73CAF9B4-8764-4404-AC61-AC2918BE1350} S-1-5-21-3691498038-2086406363-2140527554-1000:ndecijaxkxb\user:Interactive:[1]
- '<SYSTEM32>\wscript.exe' "%APPDATA%\jJbcQGTyuOOaPtH.vbs" (со скрытым окном)
