Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\9gfxc_um.0.cs
- %TEMP%\9gfxc_um.cmdline
- %TEMP%\9gfxc_um.out
- %TEMP%\cscd4db.tmp
- %TEMP%\resd4dc.tmp
- %TEMP%\9gfxc_um.dll
- %APPDATA%\winiti.exe
Удаляет следующие файлы
- %TEMP%\resd4dc.tmp
- %TEMP%\cscd4db.tmp
- %TEMP%\9gfxc_um.0.cs
- %TEMP%\9gfxc_um.cmdline
- %TEMP%\9gfxc_um.pdb
- %TEMP%\9gfxc_um.out
- %TEMP%\9gfxc_um.dll
Сетевая активность
Подключается к
- '10#.#72.4.179':80
TCP
Запросы HTTP GET
- http://10#.#72.4.179/515/winiti.exe
Другое
Создает и запускает на исполнение
- '%APPDATA%\winiti.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' "/C POWerSHElL -EX ByPASS -NOp -W 1 ... (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -EX ByPASS -NOp -W 1 -c ...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\9gfxc_um.cmdline" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESD4DC.tmp" "%TEMP%\CSCD4DB.tmp" (со скрытым окном)
