Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\flowersfollowingflowers.vBS"
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\i3nmat9z\config14[1].txt
- %APPDATA%\flowersfollowingflowers.vbs
- <Текущая директория>\79051000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'ho#.fyi':80
- '10#.#86.67.211':80
- '91.##.254.29':80
TCP
Запросы HTTP GET
- http://ho#.fyi/lbG0m
- http://10#.#86.67.211/50650/zro/zero.zrzr.zrzr.zrzrzr.doc
- http://10#.#86.67.211/50650/flowersfollowingflowers.gif
UDP
- DNS ASK ho#.fyi
Другое
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\winword.exe' -Embedding
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
