Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\cscript.exe
Изменения в файловой системе
Удаляет следующие файлы
- %WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe
Сетевая активность
Подключается к
- 'mn###esta1.com':80
TCP
Запросы HTTP GET
- http://mn###esta1.com/loader/uploads/Lkces_Rererdrf.jpg
UDP
- DNS ASK mn###esta1.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBTAGUAYwBvAG4AZABzACAAMwAwAA==' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBTAGUAYwBvAG4AZABzACAAMwAwAA==
- '%WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe' purecrypter
- '%WINDIR%\syswow64\cscript.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%WINDIR%\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe"
