Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\word update.exe
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<Текущая директория>\word document.png'
Внедряет код в
следующие пользовательские процессы:
- word document.png
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\word document.png
Сетевая активность
Подключается к
- 'gm##e.co.il':80
- 'a0#####3148.ddns.net':1604
TCP
Другие
- 'a0#####3148.ddns.net':1604
UDP
- DNS ASK gm##e.co.il
- DNS ASK a0#####3148.ddns.net
Другое
Создает и запускает на исполнение
- '<Текущая директория>\word document.png' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Copy-Item '<Текущая директория>\Word Document.png' '%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Word Update.exe'
