Техническая информация
Изменения в файловой системе
Изменяет следующие файлы
- %TEMP%\javadeployreg.log
Самоперемещается
- из <PATH_SAMPLE>.vbs в C:\users\appdata\roaming\microsoft\windows\start menu\programs\startup\<Имя файла>.vbs
Сетевая активность
Подключается к
- 'hy####iene.co.za':80
TCP
Запросы HTTP GET
- http://hy####iene.co.za/csgbin/topfit/attack.txt
UDP
- DNS ASK hy####iene.co.za
Другое
Ищет следующие окна
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Waiting for the redirectiron...Accessing /csgbin/topfit/attack.txt securely… This is an automatic process. Your browser will redirect to your requested content in 5 seconds. Security che...' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Move-item '<PATH_SAMPLE>.vbs' -Destination 'C:\Users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\<Имя файла>.vbs'' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\internet explorer\iexplore.exe' -Embedding
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Waiting for the redirectiron...Accessing /csgbin/topfit/attack.txt securely… This is an automatic process. Your browser will redirect to your requested content in 5 seconds. Security che...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Move-item '<PATH_SAMPLE>.vbs' -Destination 'C:\Users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\<Имя файла>.vbs'
