Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c %ALLUSERSPROFILE%\HighScores.bat
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1456
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\wermgr.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\highscores.bat
- %TEMP%\1161973.cvr
- C:\trone\altogether4127453.vbs
- C:\trone\1\existingexcel.dll
Сетевая активность
Подключается к
- '12#.2.28.70':449
- 'wt###myip.com':80
TCP
- '12#.2.28.70':449
UDP
- DNS ASK wt###myip.com
- DNS ASK 19#.###.#11.95.zen.spamhaus.org
- DNS ASK 19#.###.#11.95.cbl.abuseat.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "C:\trone\altogether4127453.vbs"
- '<SYSTEM32>\cmd.exe' /c %ALLUSERSPROFILE%\HighScores.bat' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\ping.exe' w 5000 ya.fr
- '<SYSTEM32>\ping.exe' w 5000 htr-oi.io
- '<SYSTEM32>\rundll32.exe' c:\trone\1\ExistingExcel.dll,DllRegisterServer1
- '<SYSTEM32>\wermgr.exe'
