Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\deer-neck
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\philadelphia.log.vbs
- %TEMP%\7zsfx000.cmd
- C:\users\public\cork\deer-neck.docx
Удаляет следующие файлы
- %TEMP%\7zsfx000.cmd
- %HOMEPATH%\philadelphia.log.vbs
Самоудаляется.
Сетевая активность
UDP
- DNS ASK de#####l.gortomalo.ru
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' %HOMEPATH%\philadelphia.log.vbs
- '%WINDIR%\syswow64\cmd.exe' /c copy /y %HOMEPATH%\philadelphia.log %HOMEPATH%\philadelphia.log.vbs' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c start /b wscript.exe %HOMEPATH%\philadelphia.log.vbs' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" "' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /CREATE /sc minute /mo 10 /tn "deer-neck" /tr "wscript.exe "C:\Users\Public\cork\deer-neck.docx" council //e:VBScript /crept //b council " /F' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy /y %HOMEPATH%\philadelphia.log %HOMEPATH%\philadelphia.log.vbs
- '%WINDIR%\syswow64\cmd.exe' /c start /b wscript.exe %HOMEPATH%\philadelphia.log.vbs
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" "
- '%WINDIR%\syswow64\schtasks.exe' /CREATE /sc minute /mo 10 /tn "deer-neck" /tr "wscript.exe "C:\Users\Public\cork\deer-neck.docx" council //e:VBScript /crept //b council " /F
