Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' GiQDdTHaPI nGizLTPVjqlRLwmZQpP dXjEhXS & %co^m^S^p^E^c% /c ^f^o^R , , ; /^f , , , , ; ; , " tokens= +2 delims=FpH" ; ; , ; , ; %^E , ; ; ...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\322.exe
Удаляет следующие файлы
- %TEMP%\322.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://su##i.com/IdWaI
- http://sp####pekt.com.br/WCH
- http://sp###pony.ch/R1c
- http://re#####ationcongo.com/imiK6
- http://www.re#####ationcongo.com/imiK6
- http://pr##oach.jp/newfolde_r/Q8G8Tdg
UDP
- DNS ASK su##i.com
- DNS ASK sp####pekt.com.br
- DNS ASK sp###pony.ch
- DNS ASK re#####ationcongo.com
- DNS ASK pr##oach.jp
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' GiQDdTHaPI nGizLTPVjqlRLwmZQpP dXjEhXS & %co^m^S^p^E^c% /c ^f^o^R , , ; /^f , , , , ; ; , " tokens= +2 delims=FpH" ; ; , ; , ; %^E , ; ; ...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ^f^t^Y^pe | ^f^Inds^T^r ^C^m
- '<SYSTEM32>\cmd.exe' /S /D /c" ftYpe "
- '<SYSTEM32>\findstr.exe' Cm
- '<SYSTEM32>\cmd.exe' ; ; , , t1lrs3/V)U0Ma;1E ; ; , , ; , MTDyP3pqrW/C " ; , ; ; ; , ( , ( , , , , , ( , ( , (^S^ET ^ ^ ^ ^...
