Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rld74430.exe
- %TEMP%\selfd62191.bat
Самоудаляется.
Сетевая активность
Подключается к
- 'mo#####.map.fastly.net':443
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
UDP
- DNS ASK mo#####.map.fastly.net
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Создает и запускает на исполнение
- '%TEMP%\rld74430.exe' "<Полный путь к файлу>" 2000 del
Запускает на исполнение
- '<SYSTEM32>\wbem\wmic.exe' process where (ProcessId=2076) get ParentProcessID /FORMAT:List /FORMAT:List (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' process where (ProcessId=3472) get ExecutablePath /FORMAT:List /FORMAT:List (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c WMIC /NAMESPACE:\\root\Microsoft\Windows\Defender PATH MSFT_MpPreference call Add ExclusionPath="<Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' /NAMESPACE:\\root\Microsoft\Windows\Defender PATH MSFT_MpPreference call Add ExclusionPath="<Полный путь к файлу>"
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\SelfD62191.bat (со скрытым окном)
- '%WINDIR%\syswow64\ping.exe' -n 1 localhost
