Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%ProgramFiles%\microsoft office\office14\winword.exe' /n "%TEMP%\A9R2itokx_9c32aq_2ag.tmp\invoice-2017.doc"
- '<SYSTEM32>\cmd.exe' /Cstart iexplore https://virustotal.com
Изменяет следующие настройки браузера Windows Internet Explorer
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1400' = '00000003'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1C00' = '00000000'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\a9r2itokx_9c32aq_2ag.tmp\invoice-2017.doc
- %LOCALAPPDATA%\adobe\acrocef\dc\acrobat\cookie\cookies-journal
- %TEMP%\etilqs_uemdgjgtuwm9jjl
- %LOCALAPPDATA%\adobe\acrocef\dc\acrobat\cookie\cookies
- %TEMP%\a9r8linv2_9c32as_2ag.tmp
Сетевая активность
Подключается к
- 'vi###total.com':443
TCP
Другие
- 'vi###total.com':443
UDP
- DNS ASK vi###total.com
Другое
Ищет следующие окна
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /Cstart iexplore https://virustotal.com' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' https://virustotal.com
