Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\adobe acrobat player task
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' //b /e:jscript %TEMP%\crashpad.ini
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c wscript.exe //b /e:jscript %TEMP%\crashpad.ini
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1360
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\crashpad.ini
- %TEMP%\qquhu.txt
- %APPDATA%\microsoft\windows\{4d4fe74d-e3a0-5071-e65e-d0f75d44d069}\crashpad.log
- %TEMP%\1435115.cvr
Удаляет следующие файлы
- %TEMP%\crashpad.ini
Сетевая активность
Подключается к
- '31.##4.234.71':443
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' //b /e:jscript %APPDATA%\Microsoft\Windows\{4d4fe74d-e3a0-5071-e65e-d0f75d44d069}\crashpad.log
- '<SYSTEM32>\cmd.exe' /c wscript.exe //b /e:jscript %TEMP%\crashpad.ini' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /Create /f /tn "Adobe Acrobat Player Task" /tr "wscript.exe //b /e:jscript %APPDATA%\Microsoft\Windows\{4d4fe74d-e3a0-5071-e65e-d0f75d44d069}\crashpad.log" /sc minute /mo 2' (со скрытым окном)
- '<SYSTEM32>\wscript.exe' //b /e:jscript %APPDATA%\Microsoft\Windows\{4d4fe74d-e3a0-5071-e65e-d0f75d44d069}\crashpad.log' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Create /f /tn "Adobe Acrobat Player Task" /tr "wscript.exe //b /e:jscript %APPDATA%\Microsoft\Windows\{4d4fe74d-e3a0-5071-e65e-d0f75d44d069}\crashpad.log" /sc minute /mo 2
- '<SYSTEM32>\taskeng.exe' {67D62E99-562A-4CEA-85FC-E21BDD61F19D} S-1-5-21-3150914307-1777937420-491476919-1000:ixyqofeayhq\user:Interactive:[1]
