Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\sbishwcu.lnk
- <SYSTEM32>\tasks\opera scheduled autoupdate 3131961357
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\69577.exe'
Загружает и запускает на исполнение
- https://u.teknik.io/u6ssu.txt как %temp%\yvetqqyefi.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\69577.exe
- %TEMP%\yvetqqyefi.exe
- %APPDATA%\microsoft\windows\sbishwcu\hduaurtt.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\windows\sbishwcu\hduaurtt.exe
Удаляет следующие файлы
- %TEMP%\yvetqqyefi.exe
Сетевая активность
Подключается к
- 'bi#.ly':80
- 'pr######eathleticsinc.com':80
- 'u.##knik.io':443
- 'ms###csi.com':80
- 'cm##re.ca':80
TCP
Запросы HTTP POST
- http://cm##re.ca/1/
UDP
- DNS ASK bi#.ly
- DNS ASK pr######eathleticsinc.com
- DNS ASK u.##knik.io
- DNS ASK cm##re.ca
Другое
Создает и запускает на исполнение
- '%TEMP%\yvetqqyefi.exe'
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
