Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\jdkam7th.0.cs
- %TEMP%\jdkam7th.cmdline
- %TEMP%\jdkam7th.out
- %TEMP%\csc5f8d.tmp
- %TEMP%\res5f9d.tmp
- %TEMP%\jdkam7th.dll
- %APPDATA%\caspol.exe
Удаляет следующие файлы
- %TEMP%\res5f9d.tmp
- %TEMP%\csc5f8d.tmp
- %TEMP%\jdkam7th.0.cs
- %TEMP%\jdkam7th.out
- %TEMP%\jdkam7th.dll
- %TEMP%\jdkam7th.pdb
- %TEMP%\jdkam7th.cmdline
Сетевая активность
Подключается к
- '19#.#.243.136':80
TCP
Запросы HTTP GET
- http://19#.#.243.136/49/caspol.exe
Другое
Создает и запускает на исполнение
- '%APPDATA%\caspol.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' "POwERsHeLl.eXE -EX ByPass -Nop -w ... (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -EX ByPass -Nop -w 1 -C dEvIceCRedenTIaLdEPLOYmeNt
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\jdkam7th.cmdline" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES5F9D.tmp" "%TEMP%\CSC5F8D.tmp" (со скрытым окном)
