Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\aspnet_compiler.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\aspnet_compiler.exe
Изменения в файловой системе
Создает следующие файлы
- C:\temp\8chhutin.ps1
Сетевая активность
Подключается к
- 'ce####erholding.top':443
- 'ch####p.dyndns.org':80
- 're####freegeoip.org':443
- 'ap#.##legram.org':443
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?d9##############
Другие
- 'ce####erholding.top':443
- 're####freegeoip.org':443
UDP
- DNS ASK ce####erholding.top
- DNS ASK ch####p.dyndns.org
- DNS ASK re####freegeoip.org
- DNS ASK ap#.##legram.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -nop -ep bypass -file "C:\Temp\8CHHUTIN.ps1"
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\aspnet_compiler.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -nop -ep bypass -file "C:\Temp\8CHHUTIN.ps1" (со скрытым окном)
