Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' "C:\Users\Public\1.vbs"
- '<SYSTEM32>\wscript.exe' "C:\Users\Public\2.vbs"
Запускает на исполнение (эксплоит)
- '%WINDIR%\explorer.exe' C:\Users\Public\1.vbs
- '%WINDIR%\explorer.exe' C:\Users\Public\2.vbs
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\1.vbs
- C:\users\public\2.vbs
- C:\users\public\1.html
Удаляет следующие файлы
- C:\users\public\1.vbs
- C:\users\public\2.vbs
Сетевая активность
TCP
Запросы HTTP GET
- http://sa###drug.com/wp-content/themes/calliope/wp_data.php
UDP
- DNS ASK sa###drug.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\explorer.exe' C:\Users\Public\1.vbs' (со скрытым окном)
- '<SYSTEM32>\wscript.exe' "C:\Users\Public\1.vbs"' (со скрытым окном)
- '%WINDIR%\explorer.exe' C:\Users\Public\2.vbs' (со скрытым окном)
- '<SYSTEM32>\wscript.exe' "C:\Users\Public\2.vbs"' (со скрытым окном)
