Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\synchronizetime
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' %HOMEPATH%\Links\dessert.dat //e:VBScript //b
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\ipconfig.exe' /flushdns
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\links\dessert.dat
Сетевая активность
Подключается к
- 'de#####ate.brontaga.ru':80
UDP
- DNS ASK de#####ate.brontaga.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\ipconfig.exe' /flushdns' (со скрытым окном)
- '<SYSTEM32>\wscript.exe' %HOMEPATH%\Links\dessert.dat //e:VBScript //b' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\taskeng.exe' {9B43A738-9B18-4D61-A4B1-97EF26C60C6E} S-1-5-21-1960123792-2022915161-3775307078-1001:zqxmxnx\user:Interactive:[1]
- '%ProgramFiles%\microsoft office\office14\winword.exe' /Automation -Embedding
