Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\cscript.exe' "%WINDIR%\temp\adobeacd-update.vbs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -noexit -ExecutionPolicy bypass -noprofile -file %WINDIR%\temp\adobeacd-update.ps1
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c %WINDIR%\temp\adobeacd-update.bat
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\adobeacd-update.ps1
- %WINDIR%\temp\adobeacd-update.vbs
- %WINDIR%\temp\adobeacd-update.bat
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\temp\adobeacd-update.ps1
- %WINDIR%\temp\adobeacd-update.bat
- %WINDIR%\temp\adobeacd-update.vbs
Удаляет следующие файлы
- %WINDIR%\temp\adobeacd-update.vbs
- %WINDIR%\temp\adobeacd-update.bat
- %WINDIR%\temp\adobeacd-update.ps1
Сетевая активность
TCP
Запросы HTTP GET
- http://id###etnam.vn/images/ork.exe
UDP
- DNS ASK id###etnam.vn
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c %WINDIR%\temp\adobeacd-update.bat' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -noexit -ExecutionPolicy bypass -noprofile -file %WINDIR%\temp\adobeacd-update.ps1' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\ping.exe' 1.1.2.2 -n 2
- '<SYSTEM32>\cmd.exe' /c %WINDIR%\temp\444.exe
