Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\adobe acrobat player task
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' //b /e:jscript %TEMP%\crashpad.ini
Запускает на исполнение (эксплоит)
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1356
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\crashpad.ini
- %TEMP%\sumfa.txt
- %APPDATA%\microsoft\windows\{f07f50c3-7941-4141-7dc5-54c648c15a4f}\crashpad.log
- %TEMP%\1013413.cvr
Удаляет следующие файлы
- %TEMP%\crashpad.ini
Сетевая активность
Подключается к
- '5.###.10.102':443
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' //b /e:jscript %APPDATA%\Microsoft\Windows\{f07f50c3-7941-4141-7dc5-54c648c15a4f}\crashpad.log
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Create /f /tn "Adobe Acrobat Player Task" /tr "wscript.exe //b /e:jscript %APPDATA%\Microsoft\Windows\{f07f50c3-7941-4141-7dc5-54c648c15a4f}\crashpad.log" /sc minute /mo 2 (со скрытым окном)
- '<SYSTEM32>\taskeng.exe' {72D45B25-B085-4D51-AA1E-6F75C2D49FBA} S-1-5-21-3150914307-1777937420-491476919-1000:apvpwxi\user:Interactive:[1]
- '<SYSTEM32>\wscript.exe' //b /e:jscript %TEMP%\crashpad.ini (со скрытым окном)
- '<SYSTEM32>\wscript.exe' //b /e:jscript %APPDATA%\Microsoft\Windows\{f07f50c3-7941-4141-7dc5-54c648c15a4f}\crashpad.log (со скрытым окном)
