Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\windowspowershell\v1.0\efsane.bat
- %WINDIR%\syswow64\windowspowershell\v1.0\kedi.jpeg
- nul
- %TEMP%\~ptr_b.tmp
- %TEMP%\~ptr_b.bat
- %WINDIR%\temp\client.exe
Сетевая активность
Подключается к
- 'gi##ub.com':443
- 'ra#.####ubusercontent.com':443
- 'localhost':9875
- '31.##.187.119':9875
TCP
Другие
- 'gi##ub.com':443
- 'ra#.####ubusercontent.com':443
- '31.##.187.119':9875
UDP
- DNS ASK gi##ub.com
- DNS ASK ra#.####ubusercontent.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'NarratorUIClass' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\temp\client.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""<SYSTEM32>\WindowsPowerShell\v1.0\Efsane.bat" "
- '<SYSTEM32>\svchost.exe' -k appmodel -p -s camsvc
- '%WINDIR%\syswow64\chcp.com' 65001
- '%WINDIR%\syswow64\timeout.exe' /t 0
- '%WINDIR%\syswow64\cmd.exe' /c exit 0
- '%WINDIR%\syswow64\certutil.exe' -decode "%TEMP%\~ptr_b.tmp" "%TEMP%\~ptr_b.bat"
- '%WINDIR%\temp\client.exe' (со скрытым окном)
