Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 888
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\n5is5s52.xls
- %HOMEPATH%\~$is5s52.xls
- %HOMEPATH%\n5is5s52.doc
- %HOMEPATH%\~$is5s52.doc
- %HOMEPATH%\n5is5s52.pub
- %HOMEPATH%\~$is5s52.pub
- %HOMEPATH%\n5is5s52.dll
- %TEMP%\993663.cvr
Удаляет следующие файлы
- %HOMEPATH%\~$is5s52.xls
- %HOMEPATH%\~$is5s52.doc
- %HOMEPATH%\~$is5s52.pub
Перемещает следующие файлы
- %HOMEPATH%\n5is5s52.doc в %HOMEPATH%\~wrl1913.tmp
- %HOMEPATH%\n5is5s52.pub в %HOMEPATH%\~wrl2014.tmp
- %HOMEPATH%\n5is5s52.doc в %HOMEPATH%\~wrl2084.tmp
- %HOMEPATH%\n5is5s52.pub в %HOMEPATH%\~wrl2147.tmp
- %HOMEPATH%\n5is5s52.doc в %HOMEPATH%\~wrl2197.tmp
- %HOMEPATH%\n5is5s52.pub в %HOMEPATH%\~wrl2240.tmp
- %HOMEPATH%\n5is5s52.doc в %HOMEPATH%\~wrl2291.tmp
- %HOMEPATH%\n5is5s52.pub в %HOMEPATH%\~wrl2338.tmp
- %HOMEPATH%\n5is5s52.doc в %HOMEPATH%\~wrl2385.tmp
- %HOMEPATH%\n5is5s52.pub в %HOMEPATH%\~wrl2435.tmp
- %HOMEPATH%\n5is5s52.doc в %HOMEPATH%\~wrl2482.tmp
Подменяет следующие файлы
- %HOMEPATH%\~$is5s52.doc
- %HOMEPATH%\~$is5s52.pub
Сетевая активность
Подключается к
- '19#.#23.241.144':80
Другое
Запускает на исполнение
- '<SYSTEM32>\certutil.exe' -decodehex %HOMEPATH%\n5Is5s52.xls %HOMEPATH%\n5Is5s52.dll
- '<SYSTEM32>\rundll32.exe' %HOMEPATH%\n5Is5s52.dll,R1
