Техническая информация
Изменения в файловой системе
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\sbajzr
Перемещает следующие файлы
- <Полный путь к файлу> в %TEMP%\00sbyq
Подменяет следующие исполняемые файлы
- <Полный путь к файлу>
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\sbajzr
Сетевая активность
Подключается к
- '14#.#5.72.240':5525
UDP
- DNS ASK fi#####.###tings.services.mozilla.com
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell.exe -NoProfile -ExecutionPolicy Bypass -Command ^"^& { $encoded = 'RmFpbGVkIHRvIGNvbm5lY3QgdG8gc2VydmVyLCBwbGVhc2UgcmV0cnkgYWdhaW4gbGF0ZXIgYW5kIGNoZWNrIHlvdXIgaW50ZXJuZXQgY29ubmVj...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -ExecutionPolicy Bypass -Command "& { $encoded = 'RmFpbGVkIHRvIGNvbm5lY3QgdG8gc2VydmVyLCBwbGVhc2UgcmV0cnkgYWdhaW4gbGF0ZXIgYW5kIGNoZWNrIHlvdXIgaW50ZXJuZXQgY29ubmVjdGlvbi4='; $text = [...
