Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\forp.dat
- %TEMP%\content\3096-1600-wscript.exe-04-33-36-652.dump
- %TEMP%\joksmhhi\joksmhhi.0.cs
- %TEMP%\joksmhhi\joksmhhi.cmdline
- %TEMP%\joksmhhi\joksmhhi.out
- %TEMP%\joksmhhi\csca3f6a8ab7d34430ab1a454d6448a32fc.tmp
- %TEMP%\res5f66.tmp
- %TEMP%\joksmhhi\joksmhhi.dll
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -EncodedCommand "IwBBAGYAcwB0ACAAZQBuAGgAeQBkAHIAbwB1ACAAVgBJAEEATgAgAGkAbgBkAHUAcwB0ACAAUABSAE0ASQBFAFIATgAgAEQAbwB1AGIAbABlAGgAbwByACAARQByAG8AcwBpAHYAZQBuAGUAIABwAGkAZQBwAHIAaQBuAHQAIABLAGwA...' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\joksmhhi\joksmhhi.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES5F66.tmp" "%TEMP%\joksmhhi\CSCA3F6A8AB7D34430AB1A454D6448A32FC.TMP"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -EncodedCommand "IwBBAGYAcwB0ACAAZQBuAGgAeQBkAHIAbwB1ACAAVgBJAEEATgAgAGkAbgBkAHUAcwB0ACAAUABSAE0ASQBFAFIATgAgAEQAbwB1AGIAbABlAGgAbwByACAARQByAG8AcwBpAHYAZQBuAGUAIABwAGkAZQBwAHIAaQBuAHQAIABLAGwA...
- '%WINDIR%\microsoft.net\framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\joksmhhi\joksmhhi.cmdline"
- '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES5F66.tmp" "%TEMP%\joksmhhi\CSCA3F6A8AB7D34430AB1A454D6448A32FC.TMP"
