Техническая информация
Изменения в файловой системе
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\10trcz
Перемещает следующие файлы
- <Полный путь к файлу> в %TEMP%\zyrkjq
Подменяет следующие исполняемые файлы
- <Полный путь к файлу>
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\10trcz
Сетевая активность
Подключается к
- '14#.#5.72.240':5525
- 'mo#####.map.fastly.net':443
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
TCP
Другие
- '14#.#5.72.240':5525
UDP
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
- DNS ASK mo#####.map.fastly.net
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell.exe -NoProfile -ExecutionPolicy Bypass -Command ^"^& { $encoded = 'QXBwIGluaXRpYWxpemF0aW9uIGVycm9yIDB4MTAz'; $text = [System.Text.Encoding]::UTF8.GetString([Convert]::FromBase64S...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -ExecutionPolicy Bypass -Command "& { $encoded = 'QXBwIGluaXRpYWxpemF0aW9uIGVycm9yIDB4MTAz'; $text = [System.Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($encoded)); $t...
