Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'systemx3223' = 'wscript.exe "%TEMP%\534437340.vbs"'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\534437340.ps1
- %TEMP%\534437340.vbs
Сетевая активность
Подключается к
- 'dl#####loadfile.store':443
TCP
Другие
- 'dl#####loadfile.store':443
UDP
- DNS ASK dl#####loadfile.store
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\534437340.vbs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -WindowStyle Hidden -File "%TEMP%\534437340.ps1"
Запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\534437340.vbs" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -WindowStyle Hidden -File "%TEMP%\534437340.ps1" (со скрытым окном)
