Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' //b "%HOMEPATH%\Documents\AdobeHelpCenter\HelpCenterUpdater.vbs"
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\documents\adobehelpcenter\helpcenterupdater.vbs
- %HOMEPATH%\documents\adobehelpcenter\updaterunner.vbs
Сетевая активность
UDP
- DNS ASK fa###ara.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%HOMEPATH%\Documents\AdobeHelpCenter\UpdateRunner.vbs"
- '<SYSTEM32>\wscript.exe' //b "%HOMEPATH%\Documents\AdobeHelpCenter\HelpCenterUpdater.vbs"' (со скрытым окном)
- '<SYSTEM32>\wscript.exe' "%HOMEPATH%\Documents\AdobeHelpCenter\UpdateRunner.vbs"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C rundll32 %HOMEPATH%\Documents\AdobeHelpCenter\GE40BRmRLP.dll,DllEntry' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C rundll32 %HOMEPATH%\Documents\AdobeHelpCenter\GE40BRmRLP.dll,DllEntry
- '<SYSTEM32>\rundll32.exe' %HOMEPATH%\Documents\AdobeHelpCenter\GE40BRmRLP.dll,DllEntry
