Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\microsoft\addins\e3g7s2a6.exe'
- '%APPDATA%\microsoft\addins\z1t8x3s8.exe'
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\certutil.exe' -decode %APPDATA%\Microsoft\AddIns\Q1D8Z4S7.txt %APPDATA%\Microsoft\AddIns\E3G7S2A6.exe
- '<SYSTEM32>\certutil.exe' -decode %APPDATA%\Microsoft\AddIns\D3I6M6U2.txt %APPDATA%\Microsoft\AddIns\Z1T8X3S8.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\addins\q1d8z4s7.txt
- %APPDATA%\microsoft\addins\e3g7s2a6.exe
- %APPDATA%\microsoft\addins\d3i6m6u2.txt
- %APPDATA%\microsoft\addins\z1t8x3s8.exe
Сетевая активность
Подключается к
- '<LOCALNET>.42.50':1335
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\certutil.exe' -decode %APPDATA%\Microsoft\AddIns\Q1D8Z4S7.txt %APPDATA%\Microsoft\AddIns\E3G7S2A6.exe' (со скрытым окном)
- '%APPDATA%\microsoft\addins\e3g7s2a6.exe' ' (со скрытым окном)
- '<SYSTEM32>\certutil.exe' -decode %APPDATA%\Microsoft\AddIns\D3I6M6U2.txt %APPDATA%\Microsoft\AddIns\Z1T8X3S8.exe' (со скрытым окном)
- '%APPDATA%\microsoft\addins\z1t8x3s8.exe' ' (со скрытым окном)
