Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\adobe acrobat player task
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' //b /e:jscript %TEMP%\crashpad.ini
Запускает на исполнение (эксплоит)
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1348
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\crashpad.ini
- %TEMP%\apdekzag.txt
- %APPDATA%\microsoft\windows\{58f74359-e446-61b6-607f-b26cd5d3d8b8}\crashpad.log
- %TEMP%\1313528.cvr
Удаляет следующие файлы
- %TEMP%\crashpad.ini
Сетевая активность
Подключается к
- '5.###.10.102':443
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' //b /e:jscript %APPDATA%\Microsoft\Windows\{58f74359-e446-61b6-607f-b26cd5d3d8b8}\crashpad.log
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Create /f /tn "Adobe Acrobat Player Task" /tr "wscript.exe //b /e:jscript %APPDATA%\Microsoft\Windows\{58f74359-e446-61b6-607f-b26cd5d3d8b8}\crashpad.log" /sc minute /mo 1 (со скрытым окном)
- '<SYSTEM32>\taskeng.exe' {62F6E636-1D78-48C8-9D94-6B11FD293C58} S-1-5-21-3150914307-1777937420-491476919-1000:fxrnmrlgvu\user:Interactive:[1]
- '<SYSTEM32>\wscript.exe' //b /e:jscript %TEMP%\crashpad.ini (со скрытым окном)
- '<SYSTEM32>\wscript.exe' //b /e:jscript %APPDATA%\Microsoft\Windows\{58f74359-e446-61b6-607f-b26cd5d3d8b8}\crashpad.log (со скрытым окном)
