PowerShell プログラムによって悪意のあるスクリプトが実行され、フラッシュ ドライブなどのリムーバブル メディアからファイルが盗まれます。
このスクリプトは、ターゲット システム上の「UserCacheHelper.ini」と \”OpenFileGrabber\”.exe を元の名前で使用してスクリプトを実行します。
ファイルを開いたら、Microsoft Office.ntm の起動に使用した FlashTac と同じ拡張子で名前を変更します。
また、USB ワーム経由でファイルをターゲット サーバーにコピーします。
コメント