Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABKAFEAWgBMAE4AeQB2AGwAPQAnAFoAQgBJAFgAQgB6AHQAcAAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAEUAYABjAGAAVQBgAFIAaQB0AHkAcABSAGAAbwBUAG8AQwBPAGwAIgAgAD...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\97.exe
Удаляет следующие файлы
- %HOMEPATH%\97.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://gr###chips.com/portal/sb_gjr_u/
- http://gr###chips.com/cgi-sys/suspendedpage.cgi
- http://co###rygroup.nl/idealcheckout/d_u51q_0n9r/
- http://de##rii.net/blog.old/2w24_sx_0km/
- http://dp####mkowka.cba.pl/wianki15/cvnfs_rkjhp_o/
- http://ba#####gdieuhoa365.com/wp-admin/pew_mar_nvwai2/
UDP
- DNS ASK gr###chips.com
- DNS ASK co###rygroup.nl
- DNS ASK de##rii.net
- DNS ASK dp####mkowka.cba.pl
- DNS ASK ba#####gdieuhoa365.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABKAFEAWgBMAE4AeQB2AGwAPQAnAFoAQgBJAFgAQgB6AHQAcAAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAEUAYABjAGAAVQBgAFIAaQB0AHkAcABSAGAAbwBUAG8AQwBPAGwAIgAgAD...' (со скрытым окном)
