Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1336
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\bapo1.xls
- %HOMEPATH%\~$bapo1.xls
- %HOMEPATH%\bapo1.doc
- %HOMEPATH%\~$bapo1.doc
- %HOMEPATH%\bapo1.pub
- %HOMEPATH%\~$bapo1.pub
- %HOMEPATH%\bapo1.dll
- %TEMP%\918097.cvr
Удаляет следующие файлы
- %HOMEPATH%\~$bapo1.xls
- %HOMEPATH%\~$bapo1.doc
- %HOMEPATH%\~$bapo1.pub
Перемещает следующие файлы
- %HOMEPATH%\bapo1.doc в %HOMEPATH%\~wrl2932.tmp
- %HOMEPATH%\bapo1.pub в %HOMEPATH%\~wrl3146.tmp
- %HOMEPATH%\bapo1.doc в %HOMEPATH%\~wrl3353.tmp
Подменяет следующие файлы
- %HOMEPATH%\~$bapo1.doc
- %HOMEPATH%\~$bapo1.pub
Сетевая активность
UDP
- DNS ASK bi####eyboss.xyz
Другое
Запускает на исполнение
- '<SYSTEM32>\certutil.exe' -decode %HOMEPATH%\Bapo1.xls %HOMEPATH%\Bapo1.dll
- '<SYSTEM32>\rundll32.exe' %HOMEPATH%\Bapo1.dll,Init
