Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -Command "IEX $env:INTERNAL_DB_CACHE;[Environment]::SetEnvironmentVariable('INTERNAL_DB_CACHE',$null,'User')"
Сетевая активность
Подключается к
- 'sh##x.pro':443
- '45.##.149.150':80
- 're#.##oudinary.com':443
TCP
Запросы HTTP GET
- http://45.##.149.150/44/wcc/weneedbestpeoplesaroundonfromthegreat.hta
Другие
- 'sh##x.pro':443
- 're#.##oudinary.com':443
UDP
- DNS ASK sh##x.pro
- DNS ASK re#.##oudinary.com
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -Command "IEX $env:INTERNAL_DB_CACHE;[Environment]::SetEnvironmentVariable('INTERNAL_DB_CACHE',$null,'User')" (со скрытым окном)
