Техническая информация
Изменения в файловой системе
Создает следующие файлы
- C:\temp\sample.ps1
- C:\temp\man.bat
- C:\temp\alt_sample.exe
- %TEMP%\1429045335.ebecabfbdfje
- %TEMP%\nsxf7a8.tmp\baqvy.dll
- %TEMP%\ebecabfbdfje.zip
- %TEMP%\nsxf7a8.tmp\nsisunz.dll
- %TEMP%\1429045335.exe
- %TEMP%\81751554423.txt
Удаляет следующие файлы
- %TEMP%\81751554423.txt
Перемещает следующие файлы
- %TEMP%\1429045335.exe в %TEMP%\ebecabfbdfje.exe
Подменяет следующие файлы
- %TEMP%\81751554423.txt
Сетевая активность
UDP
- DNS ASK sr#.###k-top-app.info
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -executionpolicy bypass -file C:\TEMP\sample.ps1
- 'C:\temp\alt_sample.exe'
- '%TEMP%\ebecabfbdfje.exe' 1,9,2,1,5,1,0,5,4,3,6 LkdHQzgyMC0uHSlSTEBPREM9KxwsSERLVU5NSkk/OS0aLjtHUk9IRDguNCw2Kx4uPkhEOCwdKU9JTUNQQlRaRUE3MC03MxsuU0BOUz9RVlNRRzxob3BtNC4mcXFxLURAT0gnU0ZOLDxPUClFS0BOFy1CR0hDRkVBNx8mQjA4MDA...
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\TEMP\man.bat" "
- '%WINDIR%\syswow64\wbem\wmic.exe' /output:%TEMP%\81751554423.txt bios get serialnumber (со скрытым окном)
- '%WINDIR%\syswow64\wbem\wmic.exe' /output:%TEMP%\81751554423.txt bios get version (со скрытым окном)
