Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' adv firewall set opmode mode disable
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="MWB Example" protocol=TCP dir=in localport=24800 action=allow
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\ruby.log
- <Текущая директория>\tor.exe
- <Текущая директория>\racoon.ps1
- <Текущая директория>\sysinfo.txt
- C:\temp\data\sysinfo.txt
- <Текущая директория>\remotec.ps1
Изменяет файл HOSTS.
Сетевая активность
UDP
- DNS ASK dn#.google
Другое
Создает и запускает на исполнение
- '<Текущая директория>\tor.exe' /c "--defaults-torrc C:\TorBrowser\Data\Tor\torrc-defaults -f C:\TorBrowser\Data\Tor\torrc DataDirectory C:\TorBrowser\Data\Tor ClientOnionAuthDir C:\TorBrowser\Data\Tor\onion-auth GeoIPFile C:...
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy <SYSTEM32>\cmd.exe tor.exe
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall delete rule name="Local Listener"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -executionpolicy bypass -command .\racoon.ps1
- '%WINDIR%\syswow64\cmd.exe' /c "whoami.exe && systeminfo.exe && ipconfig.exe && netstat.exe"
- '%WINDIR%\syswow64\whoami.exe'
- '%WINDIR%\syswow64\systeminfo.exe'
- '%WINDIR%\syswow64\ipconfig.exe'
- '%WINDIR%\syswow64\netstat.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -executionpolicy bypass -command .\remotec.ps1
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy bypass -EncodedCommand ZwBlAHQALQBjAGgAaQBsAGQAaQB0AGUAbQA7ACAAZwBlAHQALQBwAHIAbwBjAGUAcwBzACAATQBCAEMAbABvAHUAZABFAEEAOwAgAGcAZQB0AC0AcwBlAHIAdgBpAGMAZQAgAE0AQgBFAG4AZABwAG8Aa...
