Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\microsoft\addins\n3p9x1k7.exe'
- '%APPDATA%\microsoft\addins\j6x1c7a1.exe'
- '%APPDATA%\microsoft\addins\c1s6m6p7.exe'
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\certutil.exe' -decode %APPDATA%\Microsoft\AddIns\N7M8S1C4.txt %APPDATA%\Microsoft\AddIns\J6X1C7A1.exe
- '<SYSTEM32>\certutil.exe' -decode %APPDATA%\Microsoft\AddIns\G2I4C9R2.txt %APPDATA%\Microsoft\AddIns\C1S6M6P7.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\addins\n3p9x1k7.exe
- %APPDATA%\microsoft\addins\n7m8s1c4.txt
- %APPDATA%\microsoft\addins\j6x1c7a1.exe
- %APPDATA%\microsoft\addins\g2i4c9r2.txt
- %APPDATA%\microsoft\addins\c1s6m6p7.exe
Сетевая активность
Подключается к
- '<LOCALNET>.100.13':4444
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\addins\n3p9x1k7.exe' ' (со скрытым окном)
- '<SYSTEM32>\certutil.exe' -decode %APPDATA%\Microsoft\AddIns\N7M8S1C4.txt %APPDATA%\Microsoft\AddIns\J6X1C7A1.exe' (со скрытым окном)
- '%APPDATA%\microsoft\addins\j6x1c7a1.exe' ' (со скрытым окном)
- '<SYSTEM32>\certutil.exe' -decode %APPDATA%\Microsoft\AddIns\G2I4C9R2.txt %APPDATA%\Microsoft\AddIns\C1S6M6P7.exe' (со скрытым окном)
- '%APPDATA%\microsoft\addins\c1s6m6p7.exe' ' (со скрытым окном)
