Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\calc.exe'
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c C:\Users\Public\hg32j.bat
- '<SYSTEM32>\cmd.exe' /c C:\Users\Public\kjh4ek\ndj34h.bat
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\wermgr.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\hg32j.bat
- C:\users\public\calc.exe
- C:\users\public\kjh4ek\ndj34h.bat
- %HOMEPATH%\application data\microsoft\forms\winword.box
- %TEMP%\logfdda.tmp
Удаляет следующие файлы
- %TEMP%\logfdda.tmp
Сетевая активность
Подключается к
- '95.##1.16.42':443
TCP
- '18#.#4.31.104':443
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c C:\Users\Public\hg32j.bat' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c C:\Users\Public\kjh4ek\ndj34h.bat' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c mkdir C:\Users\Public\kjh4ek
- '<SYSTEM32>\cmd.exe' /C choice /C Y /N /D Y /T 1
- '<SYSTEM32>\choice.exe' /C Y /N /D Y /T 1
- '<SYSTEM32>\wermgr.exe'
