Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\notepad.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\48230029.tmp
- %TEMP%\60922355.tmp
- %TEMP%\4954670f.tmp
- %TEMP%\32162ac9.tmp
Удаляет следующие файлы
- %TEMP%\48230029.tmp
- %TEMP%\60922355.tmp
- %TEMP%\4954670f.tmp
- %TEMP%\32162ac9.tmp
Подменяет следующие файлы
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-1960123792-2022915161-3775307078-1001\f58155b4b1d5a524ca0261c3ee99fb50_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
Сетевая активность
TCP
Запросы HTTP GET
- http://bi#.ly/2Np1enh
- http://oc##.#tartssl.com/sub/class2/code/ca/MEMwQTA%2FMD0wOzAJBgUrDgMCGgUABBQSOgrhRCSnWfKxoWTjWxhk8hga9AQU0E4PQJlsuEsZbzsouODjiAc0qrcCAhAV
UDP
- DNS ASK bi#.ly
- DNS ASK do#########ocs.googleusercontent.com
- DNS ASK ap#.#cloud.com
- DNS ASK oc##.#tartssl.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\notepad.exe' ' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\winword.exe' /Automation -Embedding
