Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\wlanext.exe'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\wlanext.exe
Сетевая активность
Подключается к
- '23.##.235.86':80
TCP
Запросы HTTP GET
- http://23.##.235.86/wmn/Microsoftdecideddeleteeverythingfromthepccachecookiechistory.Doc
- http://23.##.235.86/400/wlanext.exe
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -windowstyle minimized $fat32 = Get-Content '%LOCALAPPDATA%\preoppression\Kleres81\Favorite.Vej' ; powershell.Exe "$fat32"' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\winword.exe' -Embedding
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -windowstyle minimized $fat32 = Get-Content '%LOCALAPPDATA%\preoppression\Kleres81\Favorite.Vej' ; powershell.Exe "$fat32"
