Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- msedge.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\stub_1779321655754_uui9jmshs\payload.exe
- %TEMP%\elevator_1779321657990_y8w3dfsha\295elevator.exe
- %TEMP%\elevator_1779321657990_y8w3dfsha\chrome_decrypt.dll
Удаляет файлы, которые сам же создал
- %TEMP%\stub_1779321655754_uui9jmshs\payload.exe
Сетевая активность
Подключается к
- 'di##ord.com':443
TCP
Другие
- 'di##ord.com':443
UDP
- DNS ASK di##ord.com
Другое
Создает и запускает на исполнение
- '%TEMP%\stub_1779321655754_uui9jmshs\payload.exe'
- '%TEMP%\elevator_1779321657990_y8w3dfsha\295elevator.exe' all -o %TEMP%\elevator_1779321657990_y8w3dfsha\output
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /d /s /c ""%TEMP%\stub_1779321655754_uui9jmshs\payload.exe"" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /d /s /c ""%TEMP%\elevator_1779321657990_y8w3dfsha\295elevator.exe" all -o %TEMP%\elevator_1779321657990_y8w3dfsha\output" (со скрытым окном)
- '%ProgramFiles(x86)%\microsoft\edge\application\msedge.exe'
- '<SYSTEM32>\cmd.exe' /d /s /c "powershell -NoProfile -Command " $encData = [Convert]::FromBase64String('AQAAANCMnd8BFdERjHoAwE/Cl+sBAAAARffMON4uAUOCSFoZ4fGQGhAAAAAKAAAARQBkAGcAZQAAABBmAAAAAQAAIAAAAO... (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -Command " $encData = [Convert]::FromBase64String('AQAAANCMnd8BFdERjHoAwE/Cl+sBAAAARffMON4uAUOCSFoZ4fGQGhAAAAAKAAAARQBkAGcAZQAAABBmAAAAAQAAIAAAAOkn5mGFWZ5eFpsDn35lPhg...
