Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' mshta $env:TEMP\wbluikiiy.hta
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\wordicon.exe
- %TEMP%\wbluikiiy.hta
- %TEMP%\wordico.exe
Удаляет следующие файлы
- %TEMP%\wordicon.exe
Сетевая активность
UDP
- DNS ASK hy###write.com
Другое
Ищет следующие окна
- ClassName: 'HTML Application Host Window Class' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\wordico.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' mshta $env:TEMP\wbluikiiy.hta' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c <SYSTEM32>\certutil -decode %TEMP%\WORDICON.exe %TEMP%\WORDICO.exe' (со скрытым окном)
- '%TEMP%\wordico.exe' ' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\mshta.exe' %TEMP%\wbluikiiy.hta
- '%WINDIR%\syswow64\cmd.exe' /c <SYSTEM32>\certutil -decode %TEMP%\WORDICON.exe %TEMP%\WORDICO.exe
- '%WINDIR%\syswow64\certutil.exe' -decode %TEMP%\WORDICON.exe %TEMP%\WORDICO.exe
