Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' "C:\Storage\word.vbs"
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\wermgr.exe
Изменения в файловой системе
Создает следующие файлы
- C:\storage\word.vbs
- C:\storage\sigmatrip.exe
- %TEMP%\loga41d.tmp
Удаляет следующие файлы
- %TEMP%\loga41d.tmp
Сетевая активность
Подключается к
- '19#.#.249.174':443
TCP
Запросы HTTP GET
- http://ta###ravan.com/dataset/omnom.php
UDP
- DNS ASK ta###ravan.com
Другое
Создает и запускает на исполнение
- 'C:\storage\sigmatrip.exe'
- '<SYSTEM32>\wscript.exe' "C:\Storage\word.vbs"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' URL.dll,FileProtocolHandler C:\Storage\word.vbs
- '<SYSTEM32>\rundll32.exe' zipfldr.dll,RouteTheCall C:\Storage\SigmaTrip.exe
- '<SYSTEM32>\wermgr.exe'
