Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\ggnckkeddpgptce
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\FCNP20210918C.vbe"
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\fcnp20210918c.vbe
- %APPDATA%\ggnckkeddpgptce.vbs
Сетевая активность
Подключается к
- '21#.#54.55.185':80
TCP
Запросы HTTP GET
- http://21#.#54.55.185/400/FCNP20210918C.vbe
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\ggnckkedDPgpTcE.vbs"
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -windowstyle hidden -noexit -Command [AppDomain]::CurrentDomain.Load([Convert]::FromBase64String((-join (Get-ItemProperty -LiteralPath 'HKCU:\Software\ggnckkedDPgpTcE' -... (со скрытым окном)
- '<SYSTEM32>\taskeng.exe' {2C93B090-F4C2-460B-B7AE-33A7F8E67E29} S-1-5-21-3691498038-2086406363-2140527554-1000:zllyhcvsuhn\user:Interactive:[1]
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -windowstyle hidden -noexit -Command [AppDomain]::CurrentDomain.Load([Convert]::FromBase64String((-join (Get-ItemProperty -LiteralPath 'HKCU:\Software\ggnckkedDPgpTcE' -... (со скрытым окном)
- '<SYSTEM32>\wscript.exe' "%APPDATA%\ggnckkedDPgpTcE.vbs" (со скрытым окном)
