Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\gv7k56t1.0.cs
- %TEMP%\gv7k56t1.cmdline
- %TEMP%\gv7k56t1.out
- %TEMP%\cscfef7.tmp
- %TEMP%\resfef8.tmp
- %TEMP%\gv7k56t1.dll
- %APPDATA%\sahost.exe
Удаляет следующие файлы
- %TEMP%\resfef8.tmp
- %TEMP%\cscfef7.tmp
- %TEMP%\gv7k56t1.cmdline
- %TEMP%\gv7k56t1.dll
- %TEMP%\gv7k56t1.out
- %TEMP%\gv7k56t1.pdb
- %TEMP%\gv7k56t1.0.cs
Сетевая активность
Подключается к
- '19#.#.176.138':80
TCP
Запросы HTTP GET
- http://19#.#.176.138/105/sahost.exe
Другое
Создает и запускает на исполнение
- '%APPDATA%\sahost.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' "/C pOWeRShELl.ExE -ex bYpASs -nop -W 1 ... (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ex bYpASs -nop -W 1 -c ...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\gv7k56t1.cmdline" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESFEF8.tmp" "%TEMP%\CSCFEF7.tmp" (со скрытым окном)
