Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft compatibility appraiser
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' %HOMEPATH%\Searches\destitute.lnk //e:VBScript //b
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\ipconfig.exe' /flushdns
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\searches\destitute.lnk
Сетевая активность
Подключается к
- '0.###.158.241':80
UDP
- DNS ASK de####e.brontaga.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\ipconfig.exe' /flushdns' (со скрытым окном)
- '<SYSTEM32>\wscript.exe' %HOMEPATH%\Searches\destitute.lnk //e:VBScript //b' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\taskeng.exe' {509A5F04-BBAC-484D-9915-87F32AEA8B42} S-1-5-21-1960123792-2022915161-3775307078-1001:wexaxmg\user:Interactive:[1]
- '%ProgramFiles%\microsoft office\office14\winword.exe' /Automation -Embedding
