Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\rundll32.exe' shell32.dll,ShellExec_RunDLL %LOCALAPPDATA%\Temp9uij23hnguiseghwfgj8932hgkhwgsdkljh824g.lnk
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\identities\dddfhj349hjlf20ghjsajf32.dll
- %LOCALAPPDATA%\temp9uij23hnguiseghwfgj8932hgkhwgsdkljh824g.lnk
- <Текущая директория>\8d211000
Перемещает следующие файлы
- %ALLUSERSPROFILE%\identities\dddfhj349hjlf20ghjsajf32.dll в %TEMP%\sas.dll
- %TEMP%\sas.dll в %TEMP%\tmpe291.tmp
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
UDP
- DNS ASK si####fymedia.pw
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\rundll32.exe' shell32.dll,ShellExec_RunDLL %LOCALAPPDATA%\Temp9uij23hnguiseghwfgj8932hgkhwgsdkljh824g.lnk' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /u /s "%ALLUSERSPROFILE%\Identities\dddfhj349hjlf20ghjsajf32.dll"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /u /s "%ALLUSERSPROFILE%\Identities\dddfhj349hjlf20ghjsajf32.dll"
- '%WINDIR%\syswow64\rundll32.exe' "%TEMP%\sas.dll",SendSAS
