Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -EP bypass -noprofile -file %TEMP%\text.ps1
Создает и загружает библиотеки (эксплоит)
- C:\.intel\.rem\1.png
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' <SYSTEM32>\WindowsPowerShell\v1.0\powershell.exe -EP bypass -noprofile -file %TEMP%\text.ps1
Изменения в файловой системе
Создает следующие файлы
- C:\.intel\.rem\1.png
- C:\.intel\.rem\2.png
- %TEMP%\text.ps1
Сетевая активность
Подключается к
- 'de####dim.com.br':80
UDP
- DNS ASK de####dim.com.br
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' <SYSTEM32>\WindowsPowerShell\v1.0\powershell.exe -EP bypass -noprofile -file %TEMP%\text.ps1' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' c:\.intel\.rem\.lang\key.txt, EproyAklW
